码迷,mamicode.com
首页 > 移动开发 > 详细

一个iframe注入漏洞,也是微软的 Application["error"] 漏洞

时间:2015-04-29 14:56:04      阅读:162      评论:0      收藏:0      [点我收藏+]

标签:

最近学校进行安全等级评估,有人给我打电话,说我之前写的一个网站存在iframe注入漏洞,页面是error页面。我于是用netsparker扫描了自己的网站,果然发现error页面存在漏洞,我写网站的时候,为了方便知道当前程序错误,写了一个error页面,代码如下 

 if (!IsPostBack)
        {
            div_error.InnerHtml = Application["error"].ToString() + "<br/>" + "<a target=‘_top‘ href=‘login.aspx‘>返回首页</a>";
        }

  其中Global.asax中 这样写的

      
    void Application_Error(object sender, EventArgs e) 
    {
        //在出现未处理的错误时运行的代码
        //Exception ex = Server.GetLastError();
        //Server.ClearError();

        //try
        //{
        //    Its.Common.LogBase.WriteException(ex, Request);
        //}
        //catch { }
        //finally
        //{
        //    // 可能会引起 Asp.net Ajax updatepanel 控件异常
        //    Response.Redirect("~/Error.aspx");
        //}

        //在出现未处理的错误时运行的代码
        Exception objErr = Server.GetLastError().GetBaseException();
        string error = "<br/><br/><span style=‘color:Red‘>发生异常页:</span>" + Request.Url.ToString() + "<br/><br/>";
        error += "<span style=‘color:Red‘>异常信息:</span>" + objErr.Message + "<br/><br/>";
        Server.ClearError();
        Application["error"] = error;
        Response.Redirect("error.aspx");
    }

注意:这样写,如果有人恶意iframe注入攻击, 这个

 Application["error"] 就会是那个iframe内嵌内容。万一被弄个不健康的东西,被人笑话。 提醒大家。至于error页面。还是直接输出个自定义字符吧。别抛出系统异常信息。这是微软的漏洞。

一个iframe注入漏洞,也是微软的 Application["error"] 漏洞

标签:

原文地址:http://www.cnblogs.com/alanjl/p/4465930.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!