快捷導(dǎo)航

ASP/VBScript中CHR(0)的由來以及帶來的安全問題分析

更新時(shí)間：2012年01月08日 18:11:43 作者：

CHR(0)是個(gè)特殊的字符，當(dāng)然在Visual Basic或者VBScript中可以直接用vbNullChar表示，從數(shù)值意義上來說這個(gè)字符就是數(shù)字0

該字符標(biāo)識(shí)著字符串的結(jié)束，也稱作null-terminated，這個(gè)給腳本編程尤其是ASP編程帶來了一定的麻煩，很多人可能會(huì)問為什么要保留這個(gè)特殊字符，我們可以追溯到編寫操作系統(tǒng)的語言之一C語言，學(xué)過C/C++的童鞋可能知道，在字符串中標(biāo)識(shí)一個(gè)字符串結(jié)束靠的就是結(jié)尾的\0（NULL或者0），否則不能稱作為字符串，只能說是字符串?dāng)?shù)組，任何對(duì)于字符串操作的函數(shù)如果傳入的字符串丟掉了這個(gè)結(jié)束NULL字符，都有可能會(huì)出現(xiàn)異常。

復(fù)制代碼代碼如下:

 
char strbuf[] = "Hello" 
// 等價(jià)于 
char strbuf[] = {'H', 'e', 'l', 'l', 'o', '\0'} 

字符串長度的判斷函數(shù)簡單的實(shí)現(xiàn)之一：

復(fù)制代碼代碼如下:

 
size_t strlen_a(const char * str) { 
size_t length = 0; 
while (*str++ ) 
++length; 
return length; 
} 

可以看出while循環(huán)是以0為結(jié)束標(biāo)志的，那么這里的結(jié)束標(biāo)志就是字符串結(jié)尾的\0字符。這種字符串的標(biāo)識(shí)方法可以說是有其道理的，因?yàn)镃語言這類比較底層的語言，需要的是執(zhí)行的效率，而且更好的存儲(chǔ)空間控制，也就是說我們對(duì)于字符串變量是需要自己掌握和分配存儲(chǔ)字符串的空間的，一般字符串分配空間要遠(yuǎn)遠(yuǎn)大于字符串的長度，并且C語言auto方式分配的變量在未初始化前是填充的垃圾值，這時(shí)向這個(gè)空間裝入我們的字符串，只需要簡單的設(shè)置字符串最后一個(gè)為\0字符就可以了，有效避免了整個(gè)空間的操作，還有一個(gè)原因就是輸出這個(gè)字符串時(shí)必須說明字符串到哪里結(jié)束，總不能輸出整個(gè)字符串存儲(chǔ)空間的值吧，呵呵，可能解釋有點(diǎn)牽強(qiáng)。

好，我們再來看為什么ASP/VBScript中保留了這個(gè)特性，我們知道VBScript是VB（Visual Basic）的一個(gè)子集，VB是什么，VB是做Windows應(yīng)用程序開發(fā)的，說到Windows應(yīng)用程序開發(fā)那么就可能會(huì)調(diào)用到Windows系統(tǒng)的API，而這些API函數(shù)則大多是用C語言編寫的，很明顯為了VB能夠兼容這些API，必然字符串要引入CHR(0)字符也就是vbNullChar，同時(shí)也要有C語言字符串處理的特性，就是遇到CHR(0)就標(biāo)識(shí)著字符串結(jié)束，無論接下來是什么內(nèi)容，最經(jīng)典的利用CHR(0)字符的WinAPI函數(shù)調(diào)用就是GetLogicalDriveStrings ，這個(gè)API獲取的驅(qū)動(dòng)器字符串就類似于c:\<null>d:\<null><null>，每兩個(gè)路徑之間都間隔一個(gè) null-terminated，也就是CHR(0)，所以需要特殊處理，如果說VB不支持CHR(0)字符，那么這個(gè)API就用不了了，VB的應(yīng)用程序編寫就大打折扣。不過特別的是VB的子集VBScript保留了這個(gè)特性，目前我不太清楚在VBScript腳本中Null字符是否有必要，但是這給我們腳本編寫有其是ASP帶來了一定的麻煩，甚至是安全隱患。

比如說這樣一個(gè)函數(shù)用來取文件擴(kuò)展名：

復(fù)制代碼代碼如下:

 
' 該函數(shù)僅供演示，請勿用于生產(chǎn)環(huán)境 
Function GetFileExtensionName(filename) 
Dim lastdotpos 
lastdotpos = InstrRev(filename, ".") 
GetFileExtensionName = Right(filename, Len(filename) - lastdotpos) 
End Function 

這個(gè)函數(shù)只用來演示，通過這個(gè)函數(shù)我們可以取到一個(gè)上傳文件的擴(kuò)展名，比如說sample.jpg，通過上面的函數(shù)獲得jpg，如果惡意攻擊者構(gòu)造這么一個(gè)上傳文件名sample.asp<null>.jpg，也就是"sample.asp" & CHR(0) & ".jpg"，則上面的函數(shù)依舊獲取擴(kuò)展名為jpg，而ASP由于VBScript特性，會(huì)按照CHR(0)進(jìn)行字符串截?cái)?，那么上傳后文件名變成了sample.asp，這是相當(dāng)危險(xiǎn)的。通常的做法就是過濾掉CHR(0)，比如下面的函數(shù)：

復(fù)制代碼代碼如下:

 
Function filterFileName(fileName) 
filterFileName = Replace(fileName, vbNullChar, "") 
End Function 

不過如果出現(xiàn)這種情況，則說明用戶可能在嘗試?yán)蒙蟼髀┒垂粝到y(tǒng)，所以我認(rèn)為比較妥當(dāng)?shù)淖龇ㄊ前l(fā)現(xiàn)包含CHR(0)，則禁止文件上傳，避免過濾后惡意文件依舊上傳了，雖然惡意文件不起作用。查詢了正則庫RegExLib.com ，我找到了比較好的判斷校驗(yàn)文件名的辦法，接下來提供這個(gè)比較通用的正則匹配文件名是否合法的函數(shù)供大家參考：

復(fù)制代碼代碼如下:

 
Function IsAcceptableFileName(fileName) 
Set objRegExp = New RegExp 
objRegExp.IgnoreCase = True 
objRegExp.Global = False 
objRegExp.Pattern = _ 
"^(?!^(PRN|AUX|CLOCK\$|CONFIG\$|" & _ 
"NUL|CON|COM\d|LPT\d|\..*)" & _ 
"(\..+)?$)[^\x00-\x1f\\?*:\"";|/]+$" 
IsAcceptableFileName = objRegExp.Test(fileName) 
Set objRegExp = Nothing 
End Function 

IsAcceptableFileName函數(shù)可以檢測文件名是否包含一些非法的字符比如0x00~0x1F以及?*\/這些禁止的路徑字符，同時(shí)還能檢測Windows下特殊的設(shè)備名，比如PRN、CON、NUL等，避免惡意設(shè)備名文件上傳。

2011年12月20日更新

關(guān)于NULL字符上傳漏洞攻擊實(shí)現(xiàn)代碼請參考《ASP上傳漏洞之利用CHR(0)繞過擴(kuò)展名檢測腳本》

您可能感興趣的文章: