zoukankan      html  css  js  c++  java
  • 一个iframe注入漏洞,也是微软的 Application["error"] 漏洞

    最近学校进行安全等级评估,有人给我打电话,说我之前写的一个网站存在iframe注入漏洞,页面是error页面。我于是用netsparker扫描了自己的网站,果然发现error页面存在漏洞,我写网站的时候,为了方便知道当前程序错误,写了一个error页面,代码如下 

     if (!IsPostBack)
            {
                div_error.InnerHtml = Application["error"].ToString() + "<br/>" + "<a target='_top' href='login.aspx'>返回首页</a>";
            }
    

      其中Global.asax中 这样写的

          
        void Application_Error(object sender, EventArgs e) 
        {
            //在出现未处理的错误时运行的代码
            //Exception ex = Server.GetLastError();
            //Server.ClearError();
    
            //try
            //{
            //    Its.Common.LogBase.WriteException(ex, Request);
            //}
            //catch { }
            //finally
            //{
            //    // 可能会引起 Asp.net Ajax updatepanel 控件异常
            //    Response.Redirect("~/Error.aspx");
            //}
    
            //在出现未处理的错误时运行的代码
            Exception objErr = Server.GetLastError().GetBaseException();
            string error = "<br/><br/><span style='color:Red'>发生异常页:</span>" + Request.Url.ToString() + "<br/><br/>";
            error += "<span style='color:Red'>异常信息:</span>" + objErr.Message + "<br/><br/>";
            Server.ClearError();
            Application["error"] = error;
            Response.Redirect("error.aspx");
        }

    注意:这样写,如果有人恶意iframe注入攻击, 这个

     Application["error"] 就会是那个iframe内嵌内容。万一被弄个不健康的东西,被人笑话。 提醒大家。至于error页面。还是直接输出个自定义字符吧。别抛出系统异常信息。这是微软的漏洞。
  • 相关阅读:
    面试题--赵银科技
    面试题--乐视.滴滴
    面试题--CVTE
    面试题--美团
    面试题--百度
    面试题--京东 有用
    mybatis的执行流程 #{}和${} Mysql自增主键返回 resultMap 一对多 多对一配置
    SpringMVC第一天
    LeetCode -- Maximum Product Subarray
    LeetCode -- Product of Array Except Self My Submissions Question
  • 原文地址:https://www.cnblogs.com/alanjl/p/4465930.html
Copyright © 2011-2022 走看看