最近学校进行安全等级评估,有人给我打电话,说我之前写的一个网站存在iframe注入漏洞,页面是error页面。我于是用netsparker扫描了自己的网站,果然发现error页面存在漏洞,我写网站的时候,为了方便知道当前程序错误,写了一个error页面,代码如下
if (!IsPostBack)
{
div_error.InnerHtml = Application["error"].ToString() + "<br/>" + "<a target='_top' href='login.aspx'>返回首页</a>";
}
其中Global.asax中 这样写的
void Application_Error(object sender, EventArgs e)
{
//在出现未处理的错误时运行的代码
//Exception ex = Server.GetLastError();
//Server.ClearError();
//try
//{
// Its.Common.LogBase.WriteException(ex, Request);
//}
//catch { }
//finally
//{
// // 可能会引起 Asp.net Ajax updatepanel 控件异常
// Response.Redirect("~/Error.aspx");
//}
//在出现未处理的错误时运行的代码
Exception objErr = Server.GetLastError().GetBaseException();
string error = "<br/><br/><span style='color:Red'>发生异常页:</span>" + Request.Url.ToString() + "<br/><br/>";
error += "<span style='color:Red'>异常信息:</span>" + objErr.Message + "<br/><br/>";
Server.ClearError();
Application["error"] = error;
Response.Redirect("error.aspx");
}
注意:这样写,如果有人恶意iframe注入攻击, 这个
Application["error"] 就会是那个iframe内嵌内容。万一被弄个不健康的东西,被人笑话。 提醒大家。至于error页面。还是直接输出个自定义字符吧。别抛出系统异常信息。这是微软的漏洞。