首先声明:
我写这个文章是给初学者使用的,我尽量写的详细,让和我一样完全没有ASP基础的人能够轻易修补自己的社区
的安全漏洞,高手可以不看!
攻击方法一:
在聊天室发送大字、炸弹。
目前很多站长提供下载的江湖社区,多数没有过滤掉\x3c、\x3e、\74、\75这样的八位字符,那么在聊天室里面如果使用这样的语法
\x3cfont style=font:300pt\x3e\(大家好)
或者
\74FONT STYLE\75FONT-SIZE:1000\76(大家好)
那么效果就是聊天室里面出现大字、彩色字;其中300pt和size:1000是字体的大小,同样道理,可以发送图片、死循环炸弹、蓝屏炸弹。
补救办法:
如果您使用的是1.13以下版本,就找寻跟目录下(——也许是/chat目录下,我记不清楚了)func.inc,在里面添加折断代码:
says=Replace(says,"<"," ")
says=Replace(says,">"," ")
says=Replace(says,"\x3c"," ")
says=Replace(says,"\x3e"," ")
says=Replace(says,"\74"," ")
says=Replace(says,"\75"," ")
says=Replace(says,"\76"," ")
如果使用1.14版本,就到/chat下面,使用记事本打开say.asp,把上面的代码加到这段代码前面:
says=Replace(says,"[tu]1[/tu]","<img src='logo/xl.gif'></img>")
says=Replace(says,"[tu]2[/tu]","<img src='logo/bm.gif'></img>")
然后试验一下,怎么样?搞定了?嘿嘿,不要高兴得太早,还有其他更让你头疼的!
攻击方法二:
直接注册六扇门、死机炸弹门派名!
这个漏洞存在于joinjhnew.asp里面,捣乱的人具体的攻击方法如下:
每一个江湖社区,在登陆页都有一个名字叫作joinjh.asp的提交表单,是给用户提供注册的,点击“注册账号”,在出现的叶面里面点击鼠标右键,选择查看源码,然后自己就可以轻易制作一个注册表单
1、把所有的代码复制到写字板
2、找寻"joinjhnew.asp",在前面加上要注册的社区路径,如http://211.97.214.38/yebi/sjec14/
(这是我的新社区,不是列举的别人的哦)
3、在任意地方(就放在信箱后面好了)插入这段代码:
门派:<input type=text name=menpai>
4、把写字板上的代码另存一下:文件——另存为——名称填写为"join.htm",位置就放在桌面上好了
5、打开这个叶面,开始注册。
如果注册的时候在门派里面填写为六扇门,那么注册以后就会成为六扇门的1级管理员,可以使用警告,但没有其他权限,所以,这并不可怕。
但是如果他在这里面填写一段死循环、一个无限大的图片代码或者烂屏炸弹的代码呢?那么结果就是他一旦进去聊天,你所有的用户——只要在聊天室里面,所有人统统死掉……因为1.14版本的f3.asp会调用用户的门派资料显示在聊天室。
其实解决办法非常简单,零度哥哥早就告诉大家了:
在joinjhnew.asp里面找寻
"
