L-BLOG 安全警告

发布时间:2005-01-11
严重程度:高
威胁程度:BLOG管理员权限被获取,用户信息泄露,
错误类型:错误地解码
利用方式:绕过验证直接进入admincp.asp对BLOG进行管理控制
受影响系统:IIS,LBLOG所有版本,其它ASP开发的BLOG
描述
  最近,我在我的BLOG访问里发现一些奇怪的访问来源,
  如https://www.zuola.com/register.asp?action=agree
  正确的地址应该是https://www.zuola.com/weblog/register.asp?action=agree 才对.
  并且在用户列表里发现有大量的随机注册用户名.

引用自
97$nbsp$$nbsp$6J1z_1G8m_5M3e$nbsp$$nbsp$2005-01-11 9:15:08 AM$nbsp$$nbsp$61.183.65.100$nbsp$$nbsp$
96$nbsp$$nbsp$5F1u_5N5x_7F8v$nbsp$$nbsp$2005-01-10 9:34:55 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
95$nbsp$$nbsp$7F3q_5K2d_8M6s$nbsp$$nbsp$2005-01-10 9:32:55 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
94$nbsp$$nbsp$3G5f_1U0h_4D7c$nbsp$$nbsp$2005-01-10 9:32:30 AM$nbsp$$nbsp$220.173.136.59$nbsp$$nbsp$
93$nbsp$$nbsp$0Y4t_8S8n_6A0h$nbsp$$nbsp$2005-01-09 5:37:40 PM$nbsp$$nbsp$220.161.161.93$nbsp$$nbsp$
90$nbsp$$nbsp$7Z6m_2R4o_8Q7m$nbsp$$nbsp$2005-01-07 5:53:04 PM$nbsp$$nbsp$221.231.119.51$nbsp$$nbsp$
89$nbsp$$nbsp$6P1p_4E0g_8E0w$nbsp$$nbsp$2005-01-06 7:11:27 PM$nbsp$$nbsp$61.149.130.245$nbsp$$nbsp$
88$nbsp$$nbsp$2I8i_3W1p_3F4c$nbsp$$nbsp$2005-01-06 1:33:20 PM$nbsp$$nbsp$221.6.29.84

$nbsp$$nbsp$
  我猜想这是某些"黑客"在用一个自动化的小工具帮我做安全测试,但从目前来看,他并没有成功,也没有对我的小站进行任何破坏.
  正巧,这些天看到安全焦点有一篇技术文章提到利用%5c绕过验证,发现我的站点也可能是被别人用%5c漏洞测试了,%5c是\的url编码,iis跳转到上一级目录去找,可用来导致数据库出错,实现数据库地址暴露,简称"%5c暴库"吧.
幸好我在刚安装了SIC的LBS时就加上了防暴库语句

 On Error Resume Next
 Conn.Open
 If Err Then
 err.Clear
 Set Conn = Nothing
 Response.Write "数据库找不到!这是数据库访问出错提示信息。你可以改成广告词。"
 Response.End
 End If

利用%5c绕过验证》的作者在文中提到曾拿大名鼎鼎的“洞”网论坛开刀,不过失败了,因为它的数据库连接文件里也有上面这么一段容错语句。而我的容错防暴库语句本来就是抄“动网论坛”的,所以很侥幸的躲过这次《利用%5c绕过验证》危机。
建议:  我记得SIC发布的BLOG版本中都没有加上防暴库的容错语句,虽然最近还没有听说LBS版本的BLOG用户发现站点被黑,建议所有LBLOG用户在common.asp中加上容错语句:
  把

Conn.Open

  改为

$nbsp$$nbsp$On Error Resume Next
$nbsp$$nbsp$Conn.Open
$nbsp$$nbsp$If Err Then
$nbsp$$nbsp$$nbsp$$nbsp$err.Clear
$nbsp$$nbsp$$nbsp$$nbsp$Set Conn = Nothing
$nbsp$$nbsp$$nbsp$$nbsp$Response.Write "数据库找不到!这是数据库访问出错提示信息。你可以改成广告词。"
$nbsp$$nbsp$$nbsp$$nbsp$Response.End
$nbsp$$nbsp$End If

7 thoughts on “L-BLOG 安全警告”

  1. 西安这里电信越来越垃圾了

    现在全面对IP进行劫持.我朋友的电脑,为了方便,我帮他把ADSL调成路由模式,现在包括BAIDU.COM 17173.COM HX2004.COM 很多网站都打不开了.

    借你的地方说句话.

    鄙视电信的所作所为.

    让我们一起鄙视吧~

  2. 0xf0[b]里已经有了,是你没更新吧~

    $nbsp$$nbsp$Conn.Open
    $nbsp$$nbsp$If Err Then
    $nbsp$$nbsp$$nbsp$$nbsp$Set Conn=Nothing
    $nbsp$$nbsp$$nbsp$$nbsp$Err.Clear
    $nbsp$$nbsp$$nbsp$$nbsp$Response.End
    $nbsp$$nbsp$End If

    [/b]

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据