一个学校的网站安全性测试

本文作者：angel
文章性质：原创
发布日期：2004-04-02 
前言 

　　我自从在学校维护学生会网站以后，就有了不小的权限，我只要上传一个“海阳顶端网ASP木马”就可以任意修改任何web页面了，因为学校里所有的站点都放在 http://www.nothing.com/ 里面，不过我可不敢这样做，也不会这样做。最近学习ASP挺上瘾，就看看学校自己写的ASP程序有什么隐患吧。 

问题一 

　　除了前台只有少量的ASP文件，就是用户注册（是学校的人才能注册）、登陆、忘记密码、个人信息修改这几个ASP文件，先看看忘记密码，lostpass.asp是一个提交页面，没有任何ASP语句，看看<form>里目标文件是lostpass1.asp，再查看原代码，没有发现问题（是我的水平有限），再看下一个lostpass2.asp，呵呵，发现了一句有毛病的语句： 

sql="select pwd,answer from [member] where userID='"&userID&"' and answer='"&answer&"'" 


　　这么低级的错误也会犯，此时，您只要根据sql构造一个特殊的用户名和密码，如：' or '1'='1 
这样,程序将会变成这样: 

程序代码：

[ 复制代码到剪贴板 ]

sql="select pwd,answer from [member] where userID="&'or'1'=1&"and pass="&answer&" 

　　or是一个逻辑运算符，判断两个条件的时候，只要其中一个条件成立，那么等式将会成立，而在语言中，是以1来代表真的(成立)，那么在这行语句中，原语句的"and"验证将不再继续，而因为"1=1"和"or"令语句返回为真值。这样的话我们从一开始就可以提交' or '1'='1这个来饶过验证了，不管我们在什么文本框我们都提交' or '1'='1这个都能顺利到达下一个页面，既然这样，我们用' or '1'='1来作为用户名和密码登陆，会怎么样呢？实验证明登陆成功，因为显示个人资料修改的链接了，果然正常显示了个人资料，我发现真实姓名不可改，说明一定有什么ID之类的来识别用户，于是直接查看网页源代码发现这么一行重要的东西： 
<input type="hidden" name="hiddenField" value="2001010001">原来是靠这个hiddenField来辨别用户，那么如果我修改了value的值，那不是可以修改其他用户了吗&#