js提交表单:WEB入侵的表单提交

作者:十 2少[NorFolk]

注:本文已发表于200503期黑客X档案转载请注明出处

  ------------BEGIN---------------

     在Web设计中处理表单提交数据是客户端向SERVER传递数据主要思路方法表单数据提交思路方法有两种Post思路方法和Get思路方法当使用Post思路方法时数据由标准
输入设备读入当使用Get思路方法时数据由CGI变量QUERY_STRING传递给表单数据处理当Post思路方法般不会在服务器上留下痕迹具体实现过程这里我就不多说
有兴趣朋友可以去翻阅其他资料不管是ASP还是PHPCGI表单提交作用大同小异所以这里仅以ASP为例

             .利用表单本地提交突破入侵限制
   既然表单是客户端和服务端重要数据传递思路方法的那么它安全性就难免会出现问题
    
1:上传非法文件
   
   某同学录popwindowupload1.asp客户端代码如下:
   

< HTML> .... < Script language="javascript"> function mysubmit(theform) { <img src='/icons/35413if.gif' />(theform.big.value<img src='/icons/35413dd.gif' />"") { alert("请点击浏览按钮<img src='/icons/35413dou.gif' />选择您要上传<img src='/icons/35413de.gif' />jpg或g<img src='/icons/35413if.gif' />文件!") theform.big.focus; <img src='/icons/35413return.gif' /> (false); } <img src='/icons/35413else.gif' /> { str= theform.big.value; strs=str.toLowerCase<img src='/icons/35413kh.gif' />; lens=strs.length; extname=strs.sub<img src='/icons/35413string.gif' />(lens-4,lens); <img src='/icons/35413if.gif' />(extname!=".jpg" && extname!=".g<img src='/icons/35413if.gif' />") { alert("请选择jpg或g<img src='/icons/35413if.gif' />文件!"); <img src='/icons/35413return.gif' /> (false); } } <img src='/icons/35413return.gif' /> (true); } < /script> ..... < input type="hidden" name="act" value="upload"> < input type="hidden" name="filepath" value="/alumni/<img src='/icons/35413class.gif' />/<img src='/icons/35413class.gif' />image"> < input type="submit" name="Submit2" value="开始上传"> .... </form>    很明显<img src='/icons/35413dou.gif' />这个上传文件在客户端利用SCRIPT限制了上传类型<img src='/icons/35413dou.gif' />虽然用SCRIPT可以减轻ASP<img src='/icons/35413chengxu.gif' /><img src='/icons/35413de.gif' />负载<img src='/icons/35413dou.gif' />但象大部分好<img src='/icons/35413de.gif' />方面<img src='/icons/35413yi.gif' />样也有它坏<img src='/icons/35413de.gif' /><img src='/icons/35413yi.gif' />面<img src='/icons/35413dou.gif' />如果其只是在客户端做限制<img src='/icons/35413dou.gif' />并在服务端限制上传类型或禁止外部提交<img src='/icons/35413dou.gif' />那么它并不能阻止我们上传<img src='/icons/35413chengxu.gif' />禁止上传<img src='/icons/35413de.gif' />ASP<img src='/icons/35413dou.gif' />CER<img src='/icons/35413dou.gif' />PHP等文件<img src='/icons/35413dou.gif' />只要我们在本地构造<img src='/icons/35413yi.gif' />个表单也能能轻松<img src='/icons/35413de.gif' />上传这些文件<img src='/icons/35413dou2.gif' /><br/> <br/>   构造<img src='/icons/35413de.gif' />表单主要代码如下:<br/>     .............<br/> <form name="form1" method="post" action=""> <textarea name="textarea" cols="60" rows="12">< form name="<img src='/icons/35413main.gif' />Form" enctype="multipart/form-data" action="http://www.*** w.com/alumni/<img src='/icons/35413class.gif' />/pic/upfile.asp?userid2=" method=post"> < tr> < td width="74" align="right" height="26">标题: < td width="399">十 2少 < /tr> < tr> < td width="74" align="right" height="26">照片介绍说明: < td width="399">十 2少's照片 < /td> < /tr> < tr> < td width="74" align="right" height="26">图片路径: < td width="399"> < input type="file" name="big"> < /td> < /tr> < tr align="center"> < td colspan="2" height="26"> < input type="hidden" name="act" value="upload"> < input type="hidden" name="filepath" value="/alumni/<img src='/icons/35413class.gif' />/<img src='/icons/35413class.gif' />image"> < input type="submit" name="Submit2" value="开始上传"> < br> < /td> < /tr> < tr align="center"> < td colspan="2" height="26" <img src='/icons/35413class.gif' />="di">只支持jpg,g<img src='/icons/35413if.gif' />文件<img src='/icons/35413dou.gif' />图片大小在 150k< /font>以内<img src='/icons/35413dou.gif' />上传时请耐心等待！         ....<br/>        只要将前面查看得到<img src='/icons/35413de.gif' />代码中<img src='/icons/35413de.gif' />验证文件类型<img src='/icons/35413de.gif' />SCRIPT删掉<img src='/icons/35413dou.gif' />然后再修改ACTION后<img src='/icons/35413de.gif' />URL保存为HTML文件即可<br/>      <br/>   2:突破表格注入限制<br/>       这个和前面<img src='/icons/35413yi.gif' />差不多就不再多说了(呵呵<img src='/icons/35413dou.gif' />其实是找不到例子拉)<br/>       另外<img src='/icons/35413zifu.gif' />输入<img src='/icons/35413de.gif' />长度限制也差不多<img src='/icons/35413dou.gif' />只要你看得懂这些HTML语言<img src='/icons/35413dou2.gif' /><br/>                                    2.HIDDEN隐藏字段缺陷<br/>      终于说到重点了<img src='/icons/35413dou2.gif' /> <br/>   1:还是SQL注入问题<img src='/icons/35413dou2.gif' /><br/>      目前SQL注入工击仍是入侵中<img src='/icons/35413de.gif' /><img src='/icons/35413yi.gif' />大热点<img src='/icons/35413dou.gif' />不过随着时间<img src='/icons/35413de.gif' />推移<img src='/icons/35413dou.gif' /><img src='/icons/35413yi.gif' />般<img src='/icons/35413de.gif' />大型网站WebSite<img src='/icons/35413chengxu.gif' />都已经将明显<img src='/icons/35413de.gif' /><br/>   注入点打好补丁拉<img src='/icons/35413dou.gif' />但是<img src='/icons/35413yi.gif' />些隐藏<img src='/icons/35413de.gif' />比较深<img src='/icons/35413de.gif' />注入点却还是有不少<img src='/icons/35413de.gif' /><img src='/icons/35413dou.gif' />除非将它所有<img src='/icons/35413de.gif' />代码都翻新<img src='/icons/35413yi.gif' />片<img src='/icons/35413dou2.gif' /><br/>    明显<img src='/icons/35413de.gif' />注入点如:.asp?id=*<img src='/icons/35413dou.gif' />输入框等都已经过滤了<img src='/icons/35413dou.gif' />但这就能彻底<img src='/icons/35413de.gif' />杜绝黑客<img src='/icons/35413de.gif' />入侵吗？回答当然是NO<br/>   这就要提到本文<img src='/icons/35413de.gif' />重点HIDDEN隐藏字段拉<img src='/icons/35413dou2.gif' /><br/>        图1是某网游官方站点<img src='/icons/35413de.gif' />帐号激活界面<img src='/icons/35413dou.gif' />查看源码<img src='/icons/35413dou.gif' />搜索"HIDDEN"<img src='/icons/35413zifu.gif' />串<br/>     <br/> <form name="form1" method="post" action=""> <textarea name="textarea" cols="60" rows="10">< form action="index_game.asp" method="post" name="form1" target="_blank" _disibledevent=> ... < td height="25" align="center"> < input type="submit" name="Submit" value="提交"> ... </form><br/>     如图2<img src='/icons/35413dou.gif' />看到了吗那个:<br/>      只要它没有在客户端做任何限制<img src='/icons/35413dou.gif' /><br/>   这就是<img src='/icons/35413yi.gif' />个注入点拉<img src='/icons/35413dou.gif' />将"user_name"<img src='/icons/35413de.gif' />值"norfolk"改为想要注入<img src='/icons/35413de.gif' />代码<img src='/icons/35413dou.gif' />然后和前面<img src='/icons/35413de.gif' /><img src='/icons/35413yi.gif' />样将"ACTION"<br/>   <img src='/icons/35413de.gif' />改为相应<img src='/icons/35413de.gif' />URL<img src='/icons/35413dou.gif' />保存为HTML文件~~~~~~~~~<br/>     不过<img src='/icons/35413dou.gif' />它<img src='/icons/35413de.gif' />安全还不错<img src='/icons/35413dou.gif' />提交后返回<img src='/icons/35413cuowu.gif' />提示窗口<img src='/icons/35413dou.gif' />很显然它在服务端禁止了外部提交<img src='/icons/35413dou2.gif' /><br/>   <br/> 2:非法修改其他用户密码<img src='/icons/35413dou2.gif' /><br/> <br/>    典型<img src='/icons/35413de.gif' />代表是leadbbs V2.77<img src='/icons/35413de.gif' />那个密码修改漏洞:任何注册用户都可以修改管理员密码<img src='/icons/35413dou.gif' />从而入侵服务器<img src='/icons/35413dou.gif' /><br/> 进而拿下主机<img src='/icons/35413dou2.gif' /><br/>    登陆后修改密码<img src='/icons/35413dou.gif' />查看源码<img src='/icons/35413dou.gif' />其主要漏洞代码如下:<br/> .......<br/> <form name="form1" method="post" action=""> <textarea name="textarea" cols="60" rows="10">< form action=usermod<img src='/icons/35413if.gif' />y.asp method=post name=form1 _disibledevent=> < tr> < td align=middle height=25> < p>*用户名称: < td height=25> < p>norfolk < tr> < td align=middle height=25> < p>*你<img src='/icons/35413de.gif' />密码: < td height=25> <br/> ........ <br/> <br/> 其中我<img src='/icons/35413de.gif' />from_id<img src='/icons/35413de.gif' />值为265<img src='/icons/35413dou.gif' />在管理员例表中查看管理员ID<img src='/icons/35413dou.gif' />然后将它替换265<img src='/icons/35413dou.gif' />再将ACTION<img src='/icons/35413de.gif' />URL相应<img src='/icons/35413de.gif' />修改<img src='/icons/35413yi.gif' />下<br/> 保存为HTML文件再提交就可以将管理员<img src='/icons/35413de.gif' />密码改成52norfolk<img src='/icons/35413dou2.gif' /><br/>   <br/>   这个漏洞早在2003.12月就已经公布<img src='/icons/35413dou.gif' />这里在拿出来只是为了介绍说明<img src='/icons/35413yi.gif' />下这个HIDDEN隐藏字段<img src='/icons/35413de.gif' />危害<img src='/icons/35413dou2.gif' />不过我发现目前<br/> 还是有不少<img src='/icons/35413chengxu.gif' />可以任意修改其他用户<img src='/icons/35413de.gif' />密码<img src='/icons/35413dou.gif' />至于思路方法如出<img src='/icons/35413yi.gif' />辙<img src='/icons/35413dou.gif' />(偶用这个漏洞拿下过不少站点<img src='/icons/35413de.gif' />ADMIN):-_-<br/> <br/> 3:任意修改价格以达到低价甚至不花<img src='/icons/35413yi.gif' />分钱网上购物<img src='/icons/35413dou2.gif' /><br/>   <br/>     早在几年前国内国外<img src='/icons/35413de.gif' /><img src='/icons/35413yi.gif' />些大型网上购物网站WebSite就已经出现过类似<img src='/icons/35413de.gif' />漏洞<img src='/icons/35413dou2.gif' /> 这些网站WebSite<img src='/icons/35413de.gif' />后台<img src='/icons/35413chengxu.gif' /><img src='/icons/35413de.gif' />验证机制并不健全<br/> 以至可以在外部提交数据<img src='/icons/35413dou.gif' />于是便出现了低价甚至不花<img src='/icons/35413yi.gif' />分钱购买商品<img src='/icons/35413de.gif' />事件<img src='/icons/35413dou.gif' />导致这些网站WebSite造成重大<img src='/icons/35413de.gif' />经济损失<img src='/icons/35413dou.gif' /><br/> 由此观的<img src='/icons/35413dou.gif' />网络安全是马虎不得<img src='/icons/35413de.gif' /><img src='/icons/35413dou.gif' />即使<img src='/icons/35413yi.gif' />丁点而问题<img src='/icons/35413dou.gif' />造成<img src='/icons/35413de.gif' />损失也是不可估量<img src='/icons/35413de.gif' /><img src='/icons/35413dou2.gif' />希望的后<img src='/icons/35413de.gif' /><img src='/icons/35413chengxu.gif' />员在编写<img src='/icons/35413chengxu.gif' />时能<br/>   够尽量细心<img src='/icons/35413dou2.gif' />这里我就不再将它<img src='/icons/35413de.gif' />利用过程写出来了<img src='/icons/35413dou.gif' />反正它们<img src='/icons/35413de.gif' />利用过程都基本相似<img src='/icons/35413dou2.gif' /><br/>   <br/>   最后给大家介绍老外写<img src='/icons/35413de.gif' /><img src='/icons/35413yi.gif' />个不错<img src='/icons/35413de.gif' />检测WEB应用<img src='/icons/35413chengxu.gif' />安全性<img src='/icons/35413de.gif' />工具<img src='/icons/35413dou.gif' /><img src='/icons/35413yi.gif' />下是安全焦点<img src='/icons/35413de.gif' />介绍:<br/> <br/>    Achilles是<img src='/icons/35413yi.gif' />个设计用来测试web应用<img src='/icons/35413chengxu.gif' />安全性<img src='/icons/35413de.gif' />工具<img src='/icons/35413dou2.gif' />它是<img src='/icons/35413yi.gif' />个代理服务器<img src='/icons/35413dou.gif' />在<img src='/icons/35413yi.gif' /><br/>   个HTTP会话中扮演着"中间人"(man-in-the-middle)<img src='/icons/35413de.gif' />角色<img src='/icons/35413dou2.gif' /><img src='/icons/35413yi.gif' />个典型<img src='/icons/35413de.gif' />HTTP代理服<br/>   务器将在客户浏览器和web服务器间转发数据包<img src='/icons/35413dou.gif' />但Achilles却载取发向任<img src='/icons/35413yi.gif' />方<img src='/icons/35413de.gif' />HTTP会<br/>   话数据<img src='/icons/35413dou.gif' />并且在转发数据前可以让用户修改这些数据.<br/>   <br/>   相信在WEB入侵方面可以为您提供不少<img src='/icons/35413de.gif' />帮助<img src='/icons/35413dou.gif' />如果有可能下次再专门写篇文章介绍它吧<img src='/icons/35413dou.gif' />这里我就不多说了<img src='/icons/35413dou.gif' />有兴趣<img src='/icons/35413de.gif' /><br/>   朋友可以自己下载研究研究<img src='/icons/35413dou.gif' />它<img src='/icons/35413de.gif' />下载地址:http://www.xfocus.net/tools/200403/achilles-0-27.zip<br/>   <br/> <br/>   后记:<br/>     到这里还是说<img src='/icons/35413yi.gif' />下解决思路方法吧<img src='/icons/35413dou2.gif' /><br/>     首先当然是禁止外部提交<img src='/icons/35413dou.gif' />这里有种不错<img src='/icons/35413de.gif' />思路方法<img src='/icons/35413dou.gif' />大家可以参考参考:<br/> <form name="form1" method="post" action=""> <textarea name="textarea" cols="60" rows="10">< % server_v1=Cstr(Request.ServerVariables("HTTP_REFERER")) server_v2=Cstr(Request.ServerVariables("SERVER_NAME")) <img src='/icons/35413if.gif' /> mid(server_v1,8,len(server_v2))<>server_v2 then % > 你想入侵我也不要这么麻烦嘛<img src='/icons/35413dou.gif' />直接打电话告诉我<img src='/icons/35413dou.gif' />我给你开WEBSHELL<img src='/icons/35413dou.gif' />呵呵 </form><br/>    但这不能彻底杜绝黑客对传递<img src='/icons/35413de.gif' />DIDDEN数据<img src='/icons/35413de.gif' />修改<img src='/icons/35413dou.gif' />前面那个ACHILLES就能修改<img src='/icons/35413dou.gif' />所以在服务端还要有健全<img src='/icons/35413de.gif' />验证机制<img src='/icons/35413dou2.gif' /><img border="0" src="down_info.asp?id=9206" width="1" height="1"> <br/> <br/> <br/> <li>上<img src='/icons/35413yi.gif' />篇文章: <img src='/icons/35413yi.gif' />次利用leadbbsCookie欺骗漏洞进行<img src='/icons/35413de.gif' />入侵</li> <br/> <li>下<img src='/icons/35413yi.gif' />篇文章: 入侵检测技术综述</li> <div> </div> <div id="entry-tags"><span>Tags:</span>  <a href='/Tag/71613/Index.html'>表单自动提交</a> <a href='/Tag/281/Index.html'>表单提交</a> <a href='/Tag/282/Index.html'>提交搜索表单</a> <a href='/Tag/286/Index.html'>js提交表单</a> </div> <script language="javascript"> showSns(); </script> <h3 class="related_post_title">延伸阅读</h3> <ul class="related_post"> <li><span>2010-11-24</span>-- <a href="/web/Article83342.html">自动填写表单,改善登陆界面的用户体验: 自动聚焦表单</a></li> <li><span>2010-11-24</span>-- <a href="/web/Article83364.html">js表单验证,手把手教你自己写一个js表单验证框架</a></li> <li><span>2010-12-15</span>-- <a href="/DotNet/Article128853.html">表单重复提交,使用HttpModule来禁用Web表单重复提交</a></li> <li><span>2010-12-9</span>-- <a href="/Javascript/Article104942.html">js提交表单,工作中常用到的JS表单验证代码（包括例子）</a></li> <li><span>2011-4-26</span>-- <a href="/Php/Article172869.html">提交表单代码,PHP中限制IP段访问、禁止IP提交表单的代码</a></li> <li><span>2009-2-17</span>-- <a href="/Office/Article62796.html">表单定制:WSS页面定制系列(2)---定制单个列表的表单页面</a></li> <li><span>2009-2-17</span>-- <a href="/Office/Article62797.html">表单定制:WSS页面定制系列(1)--如何启用表单页面的编辑模式</a></li> <li><span>2008-9-10</span>-- <a href="/Php/Article5982.html">表单重复提交:PHP避免表单的重复提交</a></li> <li><span>2010-12-19</span>-- <a href="/Bo-abstracts-selected/Article134566.html">表单提交,Android 使用三种方式获取网页（通过Post，Get进行表单的提交）</a></li> <li><span>2010-12-9</span>-- <a href="/Javascript/Article101569.html">js提交表单,离开页面时检测表单元素是否被修改，提示保存的js代码</a></li> </ul> </div> </div> <div class="list-y"> <ul class="list"> </ul> </div> <div id="comments"><a name="comment"></a> <h3 id="comments-title">最新评论</h3> <ol class="commentlist"> </ol> <div> </div> </div> <div id="respond"> <h3 id="reply-title">发表评论</h3> <form id="formCmt" method="post" onsubmit="return saveComment();"> <label for="author">昵称</label> <input id="txtUserName" name="txtUserName" type="text" value="" size="30"><br /> <label for="comment">评论</label><textarea id="txtContent" name="txtContent" cols="45" rows="8" aria-required="true">
验证码 点击图片更换