• 企业400电话
  • 微网小程序
  • AI电话机器人
  • 电商代运营
  • 全 部 栏 目

    企业400电话 网络优化推广 AI电话机器人 呼叫中心 网站建设 商标✡知产 微网小程序 电商运营 彩铃•短信 增值拓展业务
    ASP/VBScript中CHR(0)的由来以及带来的安全问题分析
    该字符标识着字符串的结束,也称作null-terminated,这个给脚本编程尤其是ASP编程带来了一定的麻烦,很多人可能会问为什么要保留这个特殊字符,我们可以追溯到编写操作系统的语言之一C语言,学过C/C++的童鞋可能知道,在字符串中标识一个字符串结束靠的就是结尾的\0(NULL或者0),否则不能称作为字符串,只能说是字符串数组,任何对于字符串操作的函数如果传入的字符串丢掉了这个结束NULL字符,都有可能会出现异常。

    复制代码 代码如下:

    char strbuf[] = "Hello"
    // 等价于
    char strbuf[] = {'H', 'e', 'l', 'l', 'o', '\0'}

    字符串长度的判断函数简单的实现之一:

    复制代码 代码如下:

    size_t strlen_a(const char * str) {
    size_t length = 0;
    while (*str++ )
    ++length;
    return length;
    }

    可以看出while循环是以0为结束标志的,那么这里的结束标志就是字符串结尾的\0字符。这种字符串的标识方法可以说是有其道理的,因为C语言这类比较底层的语言,需要的是执行的效率,而且更好的存储空间控制,也就是说我们对于字符串变量是需要自己掌握和分配存储字符串的空间的,一般字符串分配空间要远远大于字符串的长度,并且C语言auto方式分配的变量在未初始化前是填充的垃圾值,这时向这个空间装入我们的字符串,只需要简单的设置字符串最后一个为\0字符就可以了,有效避免了整个空间的操作,还有一个原因就是输出这个字符串时必须说明字符串到哪里结束,总不能输出整个字符串存储空间的值吧,呵呵,可能解释有点牵强。

    好,我们再来看为什么ASP/VBScript中保留了这个特性,我们知道VBScript是VB(Visual Basic)的一个子集,VB是什么,VB是做Windows应用程序开发的,说到Windows应用程序开发那么就可能会调用到Windows系统的API,而这些API函数则大多是用C语言编写的,很明显为了VB能够兼容这些API,必然字符串要引入CHR(0)字符也就是vbNullChar,同时也要有C语言字符串处理的特性,就是遇到CHR(0)就标识着字符串结束,无论接下来是什么内容,最经典的利用CHR(0)字符的WinAPI函数调用就是GetLogicalDriveStrings ,这个API获取的驱动器字符串就类似于c:\null>d:\null>null>,每两个路径之间都间隔一个 null-terminated,也就是CHR(0),所以需要特殊处理,如果说VB不支持CHR(0)字符,那么这个API就用不了了,VB的应用程序编写就大打折扣。不过特别的是VB的子集VBScript保留了这个特性,目前我不太清楚在VBScript脚本中Null字符是否有必要,但是这给我们脚本编写有其是ASP带来了一定的麻烦,甚至是安全隐患。

    比如说这样一个函数用来取文件扩展名:

    复制代码 代码如下:

    ' 该函数仅供演示,请勿用于生产环境
    Function GetFileExtensionName(filename)
    Dim lastdotpos
    lastdotpos = InstrRev(filename, ".")
    GetFileExtensionName = Right(filename, Len(filename) - lastdotpos)
    End Function

    这个函数只用来演示,通过这个函数我们可以取到一个上传文件的扩展名,比如说sample.jpg,通过上面的函数获得jpg,如果恶意攻击者构造这么一个上传文件名sample.aspnull>.jpg,也就是"sample.asp" CHR(0) ".jpg",则上面的函数依旧获取扩展名为jpg,而ASP由于VBScript特性,会按照CHR(0)进行字符串截断,那么上传后文件名变成了sample.asp,这是相当危险的。通常的做法就是过滤掉CHR(0),比如下面的函数:

    复制代码 代码如下:

    Function filterFileName(fileName)
    filterFileName = Replace(fileName, vbNullChar, "")
    End Function

    不过如果出现这种情况,则说明用户可能在尝试利用上传漏洞攻击系统,所以我认为比较妥当的做法是发现包含CHR(0),则禁止文件上传,避免过滤后恶意文件依旧上传了,虽然恶意文件不起作用。查询了正则库RegExLib.com ,我找到了比较好的判断校验文件名的办法,接下来提供这个比较通用的正则匹配文件名是否合法的函数供大家参考:

    复制代码 代码如下:

    Function IsAcceptableFileName(fileName)
    Set objRegExp = New RegExp
    objRegExp.IgnoreCase = True
    objRegExp.Global = False
    objRegExp.Pattern = _
    "^(?!^(PRN|AUX|CLOCK\$|CONFIG\$|" _
    "NUL|CON|COM\d|LPT\d|\..*)" _
    "(\..+)?$)[^\x00-\x1f\\?*:\"";|/]+$"
    IsAcceptableFileName = objRegExp.Test(fileName)
    Set objRegExp = Nothing
    End Function

    IsAcceptableFileName函数可以检测文件名是否包含一些非法的字符比如0x00~0x1F以及?*\/这些禁止的路径字符,同时还能检测Windows下特殊的设备名,比如PRN、CON、NUL等,避免恶意设备名文件上传。

    2011年12月20日更新

    关于NULL字符上传漏洞攻击实现代码请参考《ASP上传漏洞之利用CHR(0)绕过扩展名检测脚本》

    您可能感兴趣的文章:
    • ASP、vbscript编码模板
    • ASP中一个用VBScript写的随机数类
    • 利用vbscript脚本修改文件内容,此适用于自动化的操作中
    • asp,VBscript语法错误,史上最全最详细最精确
    • vbscript脚本编程教程2利用fso来进行文件操作
    • 使用vbscript脚本在表单中进行选择的代码
    • 用vbscript脚本实现返回 IP 配置数据的代码
    • ASP里面令人震撼地Debug类(VBScript)
    • 调试JavaScript/VBScript脚本程序(IE篇)
    • JavaScript/VBScript脚本程序调试(Wscript篇)
    • 枚举域内计算机个数vbscript脚本(没环境,没测试)
    • ASP(VBScript)中整除和取余
    • ASP基础知识VBScript基本元素讲解
    • ASP基础入门第四篇(脚本变量、函数、过程和条件语句)
    上一篇:VBS字符串的内部实现
    下一篇:VBS正则表达式对象的MultiLine属性
  • 相关文章
  • 

    © 2016-2020 巨人网络通讯 版权所有

    《增值电信业务经营许可证》 苏ICP备15040257号-8

    ASP/VBScript中CHR(0)的由来以及带来的安全问题分析 ASP,VBScript,中,CHR,的,由来,