eWebEditor文件上传漏洞的修补方法
作者:随然 日期:2009-11-28
打开Upload.ASP文件
找到下面代码:
复制内容到剪贴板
程序代码
程序代码<%
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
%>
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
%>
改为:
复制内容到剪贴板 程序代码
程序代码<%
sAllowExt = UCase(sAllowExt)
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
sAllowExt = Replace(sAllowExt, "ASP", "")
sAllowExt = Replace(sAllowExt, "CER", "")
sAllowExt = Replace(sAllowExt, "ASA", "")
sAllowExt = Replace(sAllowExt, "CDX", "")
sAllowExt = Replace(sAllowExt, "HTR", "")
sAllowExt = Replace(sAllowExt, "AAS", "")
sAllowExt = Replace(sAllowExt, "PSP", "")
Loop
%>
sAllowExt = UCase(sAllowExt)
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
sAllowExt = Replace(sAllowExt, "ASP", "")
sAllowExt = Replace(sAllowExt, "CER", "")
sAllowExt = Replace(sAllowExt, "ASA", "")
sAllowExt = Replace(sAllowExt, "CDX", "")
sAllowExt = Replace(sAllowExt, "HTR", "")
sAllowExt = Replace(sAllowExt, "AAS", "")
sAllowExt = Replace(sAllowExt, "PSP", "")
Loop
%>
第二种修补办法(实质与第一种方法是一样的)
任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
修补方法:用以下语句替换上面那局话
复制内容到剪贴板 程序代码
程序代码dim sFileType,Un_FileType,FileType
sFileType= "asp|cer|asa|cdx|htr"
Un_FileType = split(sFileType,"|")
For FileType=0 To Ubound(Un_FileType)
if instr(ucase(sAllowExt),ucase(Un_FileType(FileType)))>0 Then
Response.Write ""
Response.end
end if
next
sFileType= "asp|cer|asa|cdx|htr"
Un_FileType = split(sFileType,"|")
For FileType=0 To Ubound(Un_FileType)
if instr(ucase(sAllowExt),ucase(Un_FileType(FileType)))>0 Then
Response.Write ""
Response.end
end if
next
[本日志由 随然 于 2009-11-29 02:43 PM 编辑]
上一篇: 论坛发贴数级别方案
下一篇: 应对eWebEditor漏洞上传文件500错误的方法 
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: ASP 代码 漏洞 
相关日志:
评论: 0 | 引用: 0 | 查看次数: 11743
发表评论
