一个iframe注入漏洞,也是微软的 Application["error"] 漏洞

最近学校进行安全等级评估,有人给我打电话,说我之前写的一个网站存在iframe注入漏洞,页面是error页面。我于是用netsparker扫描了自己的网站,果然发现error页面存在漏洞,我写网站的时候,为了方便知道当前程序错误,写了一个error页面,代码如下 

 if (!IsPostBack)
        {
            div_error.InnerHtml = Application["error"].ToString() + "<br/>" + "<a target=‘_top‘ href=‘login.aspx‘>返回首页</a>";
        }

  其中Global.asax中 这样写的

      
    void Application_Error(object sender, EventArgs e) 
    {
        //在出现未处理的错误时运行的代码
        //Exception ex = Server.GetLastError();
        //Server.ClearError();

        //try
        //{
        //    Its.Common.LogBase.WriteException(ex, Request);
        //}
        //catch { }
        //finally
        //{
        //    // 可能会引起 Asp.net Ajax updatepanel 控件异常
        //    Response.Redirect("~/Error.aspx");
        //}

        //在出现未处理的错误时运行的代码
        Exception objErr = Server.GetLastError().GetBaseException();
        string error = "<br/><br/><span style=‘color:Red‘>发生异常页:</span>" + Request.Url.ToString() + "<br/><br/>";
        error += "<span style=‘color:Red‘>异常信息:</span>" + objErr.Message + "<br/><br/>";
        Server.ClearError();
        Application["error"] = error;
        Response.Redirect("error.aspx");
    }

注意:这样写,如果有人恶意iframe注入攻击, 这个

 Application["error"] 就会是那个iframe内嵌内容。万一被弄个不健康的东西,被人笑话。 提醒大家。至于error页面。还是直接输出个自定义字符吧。别抛出系统异常信息。这是微软的漏洞。

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。