ASP injection

5 октября, 2006

security

Наверное многие слышали, что невозможно вставить динамически ASP код, т.е. в ASP скриптах атаки типа PHP injection невозможны. Однако (чисто случайно, без злого умысла) заметил у одного сайта с очень высокой посещаемостью возможность динамической вставки ASP кода такой конструкцией (через URL параметр!)
<script language=vbscript runat=server>
Response.Write "this site is hacked"
</script>
И такое работает! Когда убераю 'runat=server' то получается обычный XSS.

Я не спец по ASP, но какой код должен быть чтобы такая фигня стала возможной?

Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Кто тянет ниточки вашего скролла — и почему пора их перерезать?

Короткий разбор того, как алгоритмы Instagram строят для нас цифровые тюрьмы: почему каждый лайк стягивает стены пузыря, как это меняет нейронные связи и где заканчивается персонализация, превращаясь в уязвимость.

Прочитайте — разорвите собственный пузырь

ASP injection

Кто тянет ниточки вашего скролла — и почему пора их перерезать?

Александр Антипов

:)

ASP injection

Кто тянет ниточки вашего скролла — и почему пора их перерезать?

Александр Антипов

:)

Подпишитесь на email рассылку