一个iframe注入漏洞,也是微软的 Application["error"] 漏洞

最新推荐文章于 2023-07-31 19:40:29 发布
最新推荐文章于 2023-07-31 19:40:29 发布
阅读量165 收藏
点赞数
原文链接:http://www.cnblogs.com/alanjl/p/4465930.html
版权

最近学校进行安全等级评估,有人给我打电话,说我之前写的一个网站存在iframe注入漏洞,页面是error页面。我于是用netsparker扫描了自己的网站,果然发现error页面存在漏洞,我写网站的时候,为了方便知道当前程序错误,写了一个error页面,代码如下 

 if (!IsPostBack)
        {
            div_error.InnerHtml = Application["error"].ToString() + "<br/>" + "<a target='_top' href='login.aspx'>返回首页</a>";
        }

  其中Global.asax中 这样写的

      
    void Application_Error(object sender, EventArgs e) 
    {
        //在出现未处理的错误时运行的代码
        //Exception ex = Server.GetLastError();
        //Server.ClearError();

        //try
        //{
        //    Its.Common.LogBase.WriteException(ex, Request);
        //}
        //catch { }
        //finally
        //{
        //    // 可能会引起 Asp.net Ajax updatepanel 控件异常
        //    Response.Redirect("~/Error.aspx");
        //}

        //在出现未处理的错误时运行的代码
        Exception objErr = Server.GetLastError().GetBaseException();
        string error = "<br/><br/><span style='color:Red'>发生异常页:</span>" + Request.Url.ToString() + "<br/><br/>";
        error += "<span style='color:Red'>异常信息:</span>" + objErr.Message + "<br/><br/>";
        Server.ClearError();
        Application["error"] = error;
        Response.Redirect("error.aspx");
    }

注意:这样写,如果有人恶意iframe注入攻击, 这个

 Application["error"] 就会是那个iframe内嵌内容。万一被弄个不健康的东西,被人笑话。 提醒大家。至于error页面。还是直接输出个自定义字符吧。别抛出系统异常信息。这是微软的漏洞。

转载于:https://www.cnblogs.com/alanjl/p/4465930.html

weixin_30672019
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
写了一个layout,拖动条连贯,内容区可为iframe
10-30
写了一个layout,拖动条连贯,内容区可为iframe
redis未授权访问漏洞
qq_42526270的博客
12-25 952
一. 应用介绍 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、 Key-Value数据库。和Memcached类似,它支持存储的value 类型相对更多,包括 string(字符串)、list ( 链表)、 set(集合)、zset(sorted set – 有序集合)和 hash(哈希类型)。这些数据类型都支持push/pop 、 add/remove ...
漏洞复现----22、Redis未授权访问漏洞
七天
07-15 1662
文章目录一、简介二、漏洞环境三、漏洞复现1、未授权访问2、写入webshell3、利用公私钥获取root权限4、计划任务反弹shell 一、简介 Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存也可以持久化的日执行、Key-Value数据库。 Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有添加防火墙规则避免其他非信任来源 ip 访问等策略时,会将 Redis 服务暴露到公网上;如果在没有设置密码认证(一般为空)的情况下,会导致任意用户未授权访问 Redis 以及
Error(23) Log4j远程代码执行漏洞
郑清
12-12 5008
文章目录一、问题二、Log4j远程代码执行漏洞复现1、下载JNDIExploit2、远程执行程序 -- AppRun3、编译AppRun放入nginx服务器根目录下4、编写一个RMI服务端5、模拟一个用log4j运行的程序三、解决四、本文案例demo源码 一、问题 在Log4j2.x<=2.14.1版本,攻击者可通过构造恶意请求,触发远程代码执行漏洞 二、Log4j远程代码执行漏洞复现 1、下载JNDIExploit 一款用于 JNDI注入 利用的工具 https://github.com/fe
漏洞复现-Redis 未授权访问漏洞
Fisher
06-03 3788
作为菜鸡的我打完网鼎了解到了redis,于是复现一波redis的漏洞,之后再去做一下网鼎ssrfme。 攻击者:kali 172.168.229.130 靶机: ubuntu20 172.168.229.132 前置知识: Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、 Key-Value数据库。(ps理解为就是一个数据库) 本漏洞有多条思路: 1.直接用exp getshell 2.在crontab里写定时任务,反弹shell 3. ssh key 直
返回 代码: ns_error_failure (0x80004005)_VBScript引擎堆溢出远程代码执行漏洞分析(CVE20190666)...
weixin_36248747的博客
01-02 1012
一、概述任何使用RegEx的开发者,应该都知道其中的风险。但是,是否存在一种可能,导致开发者将RegEx编写得非常糟糕,以至于产生远程代码执行的风险?如果使用的是VBScript,那么答案是肯定的。在本文中,我将详细分析CVE-2019-0666漏洞。在2019年3月发布的安全补丁中,修复了同一段代码中的多个安全漏洞,目前其CVE编号尚不明确。需要注意的是,我没有找到这个漏洞的实际存在...
若依系统前后台漏洞大全
热门推荐
FY10033的博客
08-07 4万+
漏洞影响范围RuoYi
RuoYi 逻辑缺陷漏洞分析
afeng12345678的博客
07-31 2032
若依逻辑缺陷漏洞分享。漏洞为本人原创,转载请注明出处。
iframe注入和非法重定向
m0_48520508的博客
07-16 1811
iFrame注入是一种非常常见的跨站点脚本(或XSS)攻击。它由一个或多个iFrame标签组成,这些标签已插入页面或帖子的内容中,并且通常会下载可执行程序或执行其他危害网站访问者计算机的操作。在最佳情况下,Google可能将网站标记为“恶意”。最坏的情况是网站所有者和访问者最终都感染了恶意软件。 (1)iFram注入,当易受攻击的网页上的框架通过用户可控制的输入显示另一个网页时发生。 GET/search.jsp?query=%3Ciframe%20src=%22https://google.com/?%2
iframe框架注入
voctor2436的博客
05-16 647
一般性的建议:过滤客户端提交的危险字符,客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等,其中危险字符如下:[1] |[2] &[3];XmlAttributeEncode:将在XML属性中使用的输入字符串编码 escape:函数可对字符串进行编码 decodeURIComponent:返回统一资源标识符的一个已编码组件的非编码形式。[2]使用命名框架,但在每个会话中使用不同的框架,并且使用无法预测的名称。
漏洞复现-Ruoyi若依系列
aming小老弟
05-02 2万+
官方漏洞历史文档。
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
一个刚完成的layout(拖动流畅,不受iframe影响)
10-30
一个刚完成的layout(拖动流畅,不受iframe影响)
iframe窗口高度自适应的又一个巧妙实现思路
12-10
domainA 中有一个页面index.html,通过iframe嵌套了domainB中的一个页面other.html 由于other.html页面在iframe中显示,而且其页面内容会动态的增加或减少,现在需要去掉iframe的滚动条 由于javascript同源策略的...
满意度调查行·知dr.pptx
04-25
满意度调查行·知dr.pptx
基于B2C的网上拍卖系统_秒杀与竞价.zip
04-25
基于B2C的网上拍卖系统主要用于帮助人们应用互联网方便快捷买到自己所中意的商品,并参与到秒杀与竞拍当中。 主要功能包括: 1.前台模块 (1)普通用户登录/注册。 (2)分类查看商品(普通商品与促销商品) (3)查看商品详细信息 (4)查看秒杀商品 (5)查看竞拍商品 (6)将商品加入购物车 (7)购买,结算功能 (8)留言 2.后台模块 (1)修改密码 (2)商品管理: -- 编辑/删除 -- 设置/取消促销 (3)秒杀商品:设置/取消秒杀 (4)竞拍商品:设置/取消竞拍 (5)订单管理:查看订单 (5)留言管理:查看/删除留言 项目访问路径: 前台:http://localhost:8080/sale 后台:http://localhost:8080/sale/user/adminlogin
分布式系统中Java后端开发技术及其应用实践.pdf
最新发布
04-25
分布式系统的核心思想是复杂计算任务的拆分与并行计算,可有效减少计算时间、节约算力成本。以分布式系统中Java后端开发技术的应用为主题,分析分布式系统开发的需求,探讨Java技术栈、分布式监控与日志管理、云服务模型在分布式系统Java后端开发中的应用路径,旨在为分布式系统的设计与实现提供全面的理论分析和实践指导,以支持构建高效、稳定、可扩展的企业级Java应用。 随着云计算、大数据和人工智能技术的飞速发展, 分布式系统已成为支撑现代企业信息系统的基础架构。 Java 后端开发技术在构建分布式系统中扮演着至关重要的 角色,其应用价值和研究重点主要集中在微服务架构、容 器化技术、自动化部署、服务网格、无服务器计算、应用 程序编程接口(Application Programming Interface, API)管理、数据一致性解决方案、分布式缓存、负载均衡、 复杂事件处理和分布式事务管理等方面[1]。Java平台以 其成熟的生态系统、跨平台的移植性、丰富的开源框架 和库以及稳定的性能,为分布式系统的开发提供了坚实 的基础[2]。深入探讨Java后端开发技术在分布式系统中 的应用实践,旨在为企
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar
04-25
【微信小程序毕业设计】书店系统开发项目(源码+演示视频+说明).rar 【项目技术】 微信小程序开发工具+java后端+mysql 【演示视频-编号:246】 https://pan.quark.cn/s/cb634e7c02b5 【实现功能】 用户信息管理,图书信息管理,图书类型管理,图书留言管理,论坛信息管理等
使用Spring in Guice和Guice in Spring的工具(高分项目).zip
04-25
Java SSM项目是一种使用Java语言和SSM框架(Spring + Spring MVC + MyBatis)开发的Web应用程序。SSM是一种常用的Java开发框架组合,它结合了Spring框架、Spring MVC框架和MyBatis框架的优点,能够快速构建可靠、高效的企业级应用。 1. Spring框架:Spring是一个轻量级的Java开发框架,提供了丰富的功能和模块,用于开发企业级应用。它包括IoC(Inverse of Control,控制反转)容器、AOP(Aspect-Oriented Programming,面向切面编程)等特性,可以简化开发过程、提高代码的可维护性和可测试性。 2. Spring MVC框架:Spring MVC是基于Spring框架的Web框架,用于开发Web应用程序。它采用MVC(Model-View-Controller,模型-视图-控制器)的架构模式,将应用程序分为模型层、视图层和控制器层,提供了处理请求、渲染视图和管理流程的功能。 3. MyBatis框架:MyBatis是一个持久层框架,用于与数据库进行交互。它提供了一种将数据库操作与Java对象映射起来的方式,避免了手动编写繁琐的SQL语句,并提供了事务管理和缓存等功能,简化了数据库访问的过程
一个iframe遮盖另一个iframe
12-08
以下是解决一个iframe遮盖另一个iframe的方法: 1. 将被遮盖的iframe的z-index属性设置为较高的值,例如999。 ```html <iframe src="被遮盖的iframe地址" style="position: absolute; top: 0; left: 0; z-index: 999...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值