网站的隐形炸弹 eWebEditor文件上传 漏洞补丁

2009年9月4日星期五 | | |

 eWebEditor文件上传漏洞,代码是:

<%
     sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
%> 

将这行代码换成了

改为:

<%
     sAllowExt = UCase(sAllowExt)
     Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
         sAllowExt = Replace(sAllowExt, "ASP", "")
         sAllowExt = Replace(sAllowExt, "CER", "")
         sAllowExt = Replace(sAllowExt, "ASA", "")
         sAllowExt = Replace(sAllowExt, "CDX", "")
         sAllowExt = Replace(sAllowExt, "HTR", "")
     Loop
%>
过滤了ASA等文件的上传,也降低了一点风险吧,请说这么多了,希望对各位有点小用

 

0 评论:


所有文章收集于网络,如果有牵扯到版权问题请与本站站长联系。谢谢合作![email protected]