温柔的杀手——跨站ASP Script攻击

Enter your MyNiceSite.com username:

＜INPUT type="text"name="userName" width="10" maxwidth="10"＞

＜INPUT type="submit"name="submit" value="submit"＞

＜/FORM＞

＜/BODY＞

＜/HTML＞

＜% end if %＞

Page2.asp中加如：

＜%@ Language=VBScript %＞

＜% Dim strUserName

If Request.QueryString("userName")＜＞"" Then

strUserName =server.HTMLEncode(Request.QueryString("userName"))

Else

Response.Cookies("userName") =Request.Form("userName")

strUserName = server.HTMLEncode(Request.Form("userName"))

End If %＞

＜HTML＞

＜HEAD＞

＜META http-equiv="Content-Type" content="text/html;charset=ISO-8859-1"＞

＜/HEAD＞

＜BODY＞

＜H3 align="center"＞Hello: ＜%= strUserName %＞＜/H3＞

＜/BODY＞

＜/HTML＞

现在由于这种攻击遭到有效的防制。那于那些恶意的标签和Script被编码，他们就被以文字的形式显现了出来，如下图：

我们也可增加一个IIS组件用于过滤所有从动态输入中的特殊字符。对于那些已经做好的网站，采用这种办法来防止跨站script的攻击来得非常容易。我们的这个控件能拦截来自ASP页面的REQUEST目标，可对表格，cookie,请求字串和程序的内容进行检测：

我们也可以通过编写log文件的方法把统计数据加入这个组件中。每当一个客户输入一个非法字符时，这个组件会记下它的IP地址和时间。详情请见Doug Dean的＜＜Roll your Own IIS Application on ASPToday＞＞一文。