該字符標識著字符串的結束,也稱作null-terminated�����,這個給腳本編程尤其是ASP編程帶來了一定的麻煩,很多人可能會問為什么要保留這個特殊字符�����,我們可以追溯到編寫操作系統的語言之一C語言�,學過C/C++的童鞋可能知道�����,在字符串中標識一個字符串結束靠的就是結尾的/0(NULL或者0)����,否則不能稱作為字符串�,只能說是字符串數組,任何對于字符串操作的函數如果傳入的字符串丟掉了這個結束NULL字符��,都有可能會出現異常�����。
復制代碼 代碼如下:
char strbuf[] = "Hello"
// 等價于
char strbuf[] = {'H', 'e', 'l', 'l', 'o', '/0'}
字符串長度的判斷函數簡單的實現之一:
復制代碼 代碼如下:
size_t strlen_a(const char * str) {
size_t length = 0;
while (*str++ )
++length;
return length;
}
可以看出while循環是以0為結束標志的�����,那么這里的結束標志就是字符串結尾的/0字符。這種字符串的標識方法可以說是有其道理的����,因為C語言這類比較底層的語言,需要的是執行的效率�����,而且更好的存儲空間控制����,也就是說我們對于字符串變量是需要自己掌握和分配存儲字符串的空間的����,一般字符串分配空間要遠遠大于字符串的長度�����,并且C語言auto方式分配的變量在未初始化前是填充的垃圾值���,這時向這個空間裝入我們的字符串,只需要簡單的設置字符串最后一個為/0字符就可以了�,有效避免了整個空間的操作�,還有一個原因就是輸出這個字符串時必須說明字符串到哪里結束���,總不能輸出整個字符串存儲空間的值吧��,呵呵,可能解釋有點牽強��。
好��,我們再來看為什么ASP/VBScript中保留了這個特性���,我們知道VBScript是VB(Visual Basic)的一個子集���,VB是什么,VB是做Windows應用程序開發的����,說到Windows應用程序開發那么就可能會調用到Windows系統的API���,而這些API函數則大多是用C語言編寫的���,很明顯為了VB能夠兼容這些API���,必然字符串要引入CHR(0)字符也就是vbNullChar,同時也要有C語言字符串處理的特性�����,就是遇到CHR(0)就標識著字符串結束��,無論接下來是什么內容���,最經典的利用CHR(0)字符的WinAPI函數調用就是GetLogicalDriveStrings �����,這個API獲取的驅動器字符串就類似于c:/<null>d:/<null><null>,每兩個路徑之間都間隔一個 null-terminated����,也就是CHR(0),所以需要特殊處理���,如果說VB不支持CHR(0)字符�����,那么這個API就用不了了����,VB的應用程序編寫就大打折扣。不過特別的是VB的子集VBScript保留了這個特性����,目前我不太清楚在VBScript腳本中Null字符是否有必要�,但是這給我們腳本編寫有其是ASP帶來了一定的麻煩,甚至是安全隱患���。
比如說這樣一個函數用來取文件擴展名:
復制代碼 代碼如下:
' 該函數僅供演示����,請勿用于生產環境
Function GetFileExtensionName(filename)
Dim lastdotpos
lastdotpos = InstrRev(filename, ".")
GetFileExtensionName = Right(filename, Len(filename) - lastdotpos)
End Function
這個函數只用來演示�,通過這個函數我們可以取到一個上傳文件的擴展名,比如說sample.jpg��,通過上面的函數獲得jpg����,如果惡意攻擊者構造這么一個上傳文件名sample.asp<null>.jpg,也就是"sample.asp" & CHR(0) & ".jpg",則上面的函數依舊獲取擴展名為jpg���,而ASP由于VBScript特性���,會按照CHR(0)進行字符串截斷,那么上傳后文件名變成了sample.asp�����,這是相當危險的�����。通常的做法就是過濾掉CHR(0)����,比如下面的函數:
復制代碼 代碼如下:
Function filterFileName(fileName)
filterFileName = Replace(fileName, vbNullChar, "")
End Function
不過如果出現這種情況,則說明用戶可能在嘗試利用上傳漏洞攻擊系統���,所以我認為比較妥當的做法是發現包含CHR(0)��,則禁止文件上傳,避免過濾后惡意文件依舊上傳了,雖然惡意文件不起作用�。查詢了正則庫RegExLib.com ,我找到了比較好的判斷校驗文件名的辦法�����,接下來提供這個比較通用的正則匹配文件名是否合法的函數供大家參考:
復制代碼 代碼如下:
Function IsAcceptableFileName(fileName)
Set objRegExp = New RegExp
objRegExp.IgnoreCase = True
objRegExp.Global = False
objRegExp.Pattern = _
"^(?!^(PRN|AUX|CLOCK/$|CONFIG/$|" & _
"NUL|CON|COM/d|LPT/d|/..*)" & _
"(/..+)?$)[^/x00-/x1f//?*:/"";|/]+$"
IsAcceptableFileName = objRegExp.Test(fileName)
Set objRegExp = Nothing
End Function
IsAcceptableFileName函數可以檢測文件名是否包含一些非法的字符比如0x00~0x1F以及?*//這些禁止的路徑字符��,同時還能檢測Windows下特殊的設備名��,比如PRN��、CON�����、NUL等�����,避免惡意設備名文件上傳�。
2011年12月20日更新
關于NULL字符上傳漏洞攻擊實現代碼請參考《ASP上傳漏洞之利用CHR(0)繞過擴展名檢測腳本》
