可能 FIX: 內嵌的 Null 字元會略過要求指令碼驗證

文章翻譯 文章翻譯
文章編號: 821349 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

內嵌的 Null 字元在 URL 中某些 postions 可能未偵測到為標籤,且可能會略過要求指令碼驗證功能。

發生的原因

之所以發生這個問題,是因為在剖析,期間 ASPNET 指令碼標記偵測機制會尋找角括弧 ("<"),會加上一個字母或驚嘆號 ("!")。當標記偵測機制來代替找到 Null 字元時,指令碼不會看到角括弧 ("<") 為標籤。

如果要重現這個問題,請依照下列步驟執行:
  1. 建立簡單的 Web 網頁,並命名 echo.aspx
  2. 將下列程式碼加入至 echo.aspx:
    <%
    	Response.Write(Request.QueryString("stringtext"))
    %>
  3. 要求頁面開啟之後使用內嵌的 Null 字元。比方說到下列 URL:
    http://localhost/echo.aspx?stringtext= <%00script> alert('Hello');</script>
    要求將導致指令碼或主動式內容。預期的結果是一個要求驗證錯誤或 inert 內容。

解決方案

如何取得該 Hotfix

在 2003 年六月中修正這個問題 ASP.NET Hotfix 套件 1.1。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
821156資訊: ASP.NET 1.1 2003 年六月 Hotfix 彙總套件
您不能個別取得此修正程式。您必須安裝彙總套件。

附註當您要求這個 Hotfix 時,您會收到彙總套件。 此 Hotfix 的英文版具有檔案屬性 (或更新) 中如下表所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
	           Date         Time   Version       Size       File name
		   -----------------------------------------------------------------------
		   07-Jun-2003  00:44  1.1.4322.910    253,952  Aspnet_isapi.dll
		   07-Jun-2003  00:44  1.1.4322.910     20,480  Aspnet_regiis.exe
		   07-Jun-2003  00:44  1.1.4322.910     32,768  Aspnet_wp.exe
		   15-May-2003  23:49                   33,522  Installpersistsqlstate.sql
		   15-May-2003  23:49                   34,150  Installsqlstate.sql
		   07-Jun-2003  12:52  1.1.4322.910  1,216,512  System.dll
		   07-Jun-2003  00:39                   14,472  Webuivalidation.js
		   07-Jun-2003  12:52  1.1.4322.910  1,249,280  System.Web.dll

狀況說明

Microsoft 已確認這是在本文開頭所列之 Microsoft 產品中的問題。

屬性

文章編號: 821349 - 上次校閱: 2014年2月27日 - 版次: 2.3
這篇文章中的資訊適用於:
  • Microsoft Visual Studio .NET 2003 Enterprise Architect
  • Microsoft Visual Studio .NET 2003 Enterprise Developer
  • Microsoft Visual Studio .NET 2003 專業版
  • Microsoft ASP.NET 1.1
關鍵字:?
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbnetframe100presp3fix kbfix kbhttp kbqfe kbbug KB821349 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:821349
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com