該字符標(biāo)識(shí)著字符串的結(jié)束，也稱(chēng)作null-terminated，這個(gè)給腳本編程尤其是ASP編程帶來(lái)了一定的麻煩，很多人可能會(huì)問(wèn)為什么要保留這個(gè)特殊字符，我們可以追溯到編寫(xiě)操作系統(tǒng)的語(yǔ)言之一C語(yǔ)言，學(xué)過(guò)C/C++的童鞋可能知道，在字符串中標(biāo)識(shí)一個(gè)字符串結(jié)束靠的就是結(jié)尾的\0（NULL或者0），否則不能稱(chēng)作為字符串，只能說(shuō)是字符串?dāng)?shù)組，任何對(duì)于字符串操作的函數(shù)如果傳入的字符串丟掉了這個(gè)結(jié)束NULL字符，都有可能會(huì)出現(xiàn)異常。

字符串長(zhǎng)度的判斷函數(shù)簡(jiǎn)單的實(shí)現(xiàn)之一：


可以看出while循環(huán)是以0為結(jié)束標(biāo)志的，那么這里的結(jié)束標(biāo)志就是字符串結(jié)尾的\0字符。這種字符串的標(biāo)識(shí)方法可以說(shuō)是有其道理的，因?yàn)镃語(yǔ)言這類(lèi)比較底層的語(yǔ)言，需要的是執(zhí)行的效率，而且更好的存儲(chǔ)空間控制，也就是說(shuō)我們對(duì)于字符串變量是需要自己掌握和分配存儲(chǔ)字符串的空間的，一般字符串分配空間要遠(yuǎn)遠(yuǎn)大于字符串的長(zhǎng)度，并且C語(yǔ)言auto方式分配的變量在未初始化前是填充的垃圾值，這時(shí)向這個(gè)空間裝入我們的字符串，只需要簡(jiǎn)單的設(shè)置字符串最后一個(gè)為\0字符就可以了，有效避免了整個(gè)空間的操作，還有一個(gè)原因就是輸出這個(gè)字符串時(shí)必須說(shuō)明字符串到哪里結(jié)束，總不能輸出整個(gè)字符串存儲(chǔ)空間的值吧，呵呵，可能解釋有點(diǎn)牽強(qiáng)。

好，我們?cè)賮?lái)看為什么ASP/VBScript中保留了這個(gè)特性，我們知道VBScript是VB（Visual Basic）的一個(gè)子集，VB是什么，VB是做Windows應(yīng)用程序開(kāi)發(fā)的，說(shuō)到Windows應(yīng)用程序開(kāi)發(fā)那么就可能會(huì)調(diào)用到Windows系統(tǒng)的API，而這些API函數(shù)則大多是用C語(yǔ)言編寫(xiě)的，很明顯為了VB能夠兼容這些API，必然字符串要引入CHR(0)字符也就是vbNullChar，同時(shí)也要有C語(yǔ)言字符串處理的特性，就是遇到CHR(0)就標(biāo)識(shí)著字符串結(jié)束，無(wú)論接下來(lái)是什么內(nèi)容，最經(jīng)典的利用CHR(0)字符的WinAPI函數(shù)調(diào)用就是GetLogicalDriveStrings ，這個(gè)API獲取的驅(qū)動(dòng)器字符串就類(lèi)似于c:\<null>d:\<null><null>，每?jī)蓚€(gè)路徑之間都間隔一個(gè) null-terminated，也就是CHR(0)，所以需要特殊處理，如果說(shuō)VB不支持CHR(0)字符，那么這個(gè)API就用不了了，VB的應(yīng)用程序編寫(xiě)就大打折扣。不過(guò)特別的是VB的子集VBScript保留了這個(gè)特性，目前我不太清楚在VBScript腳本中Null字符是否有必要，但是這給我們腳本編寫(xiě)有其是ASP帶來(lái)了一定的麻煩，甚至是安全隱患。

比如說(shuō)這樣一個(gè)函數(shù)用來(lái)取文件擴(kuò)展名：

這個(gè)函數(shù)只用來(lái)演示，通過(guò)這個(gè)函數(shù)我們可以取到一個(gè)上傳文件的擴(kuò)展名，比如說(shuō)sample.jpg，通過(guò)上面的函數(shù)獲得jpg，如果惡意攻擊者構(gòu)造這么一個(gè)上傳文件名sample.asp<null>.jpg，也就是"sample.asp" & CHR(0) & ".jpg"，則上面的函數(shù)依舊獲取擴(kuò)展名為jpg，而ASP由于VBScript特性，會(huì)按照CHR(0)進(jìn)行字符串截?cái)?，那么上傳后文件名變成了sample.asp，這是相當(dāng)危險(xiǎn)的。通常的做法就是過(guò)濾掉CHR(0)，比如下面的函數(shù)：


不過(guò)如果出現(xiàn)這種情況，則說(shuō)明用戶(hù)可能在嘗試?yán)蒙蟼髀┒垂粝到y(tǒng)，所以我認(rèn)為比較妥當(dāng)?shù)淖龇ㄊ前l(fā)現(xiàn)包含CHR(0)，則禁止文件上傳，避免過(guò)濾后惡意文件依舊上傳了，雖然惡意文件不起作用。查詢(xún)了正則庫(kù)RegExLib.com ，我找到了比較好的判斷校驗(yàn)文件名的辦法，接下來(lái)提供這個(gè)比較通用的正則匹配文件名是否合法的函數(shù)供大家參考：


IsAcceptableFileName函數(shù)可以檢測(cè)文件名是否包含一些非法的字符比如0x00~0x1F以及?*\/這些禁止的路徑字符，同時(shí)還能檢測(cè)Windows下特殊的設(shè)備名，比如PRN、CON、NUL等，避免惡意設(shè)備名文件上傳。

2011年12月20日更新

關(guān)于NULL字符上傳漏洞攻擊實(shí)現(xiàn)代碼請(qǐng)參考《ASP上傳漏洞之利用CHR(0)繞過(guò)擴(kuò)展名檢測(cè)腳本》