最近学校进行安全等级评估,有人给我打电话,说我之前写的一个网站存在iframe注入漏洞,页面是error页面。我于是用netsparker扫描了自己的网站,果然发现error页面存在漏洞,我写网站的时候,为了方便知道当前程序错误,写了一个error页面,代码如下
if (!IsPostBack) { div_error.InnerHtml = Application["error"].ToString() + "<br/>" + "<a target='_top' href='login.aspx'>返回首页</a>"; }其中Global.asax中 这样写的
void Application_Error(object sender, EventArgs e) { //在出现未处理的错误时运行的代码 //Exception ex = Server.GetLastError(); //Server.ClearError(); //try //{ // Its.Common.LogBase.WriteException(ex, Request); //} //catch { } //finally //{ // // 可能会引起 Asp.net Ajax updatepanel 控件异常 // Response.Redirect("~/Error.aspx"); //} //在出现未处理的错误时运行的代码 Exception objErr = Server.GetLastError().GetBaseException(); string error = "<br/><br/><span style='color:Red'>发生异常页:</span>" + Request.Url.ToString() + "<br/><br/>"; error += "<span style='color:Red'>异常信息:</span>" + objErr.Message + "<br/><br/>"; Server.ClearError(); Application["error"] = error; Response.Redirect("error.aspx"); }
注意:这样写,如果有人恶意iframe注入攻击, 这个
Application["error"] 就会是那个iframe内嵌内容。万一被弄个不健康的东西,被人笑话。 提醒大家。至于error页面。还是直接输出个自定义字符吧。别抛出系统异常信息。这是微软的漏洞。