0 Then Response.Write "" Response.end end ifnext [/code], - 三思随然 - 主动即自由,阅历即财富!简简单单,一切随然!" /> eWebEditor文件上传漏洞的修补方法 - 三思随然

eWebEditor文件上传漏洞的修补方法


打开Upload.ASP文件
找到下面代码:
<%
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
%>


改为:
<%
sAllowExt = UCase(sAllowExt)
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
sAllowExt = Replace(sAllowExt, "ASP", "")
sAllowExt = Replace(sAllowExt, "CER", "")
sAllowExt = Replace(sAllowExt, "ASA", "")
sAllowExt = Replace(sAllowExt, "CDX", "")
sAllowExt = Replace(sAllowExt, "HTR", "")
sAllowExt = Replace(sAllowExt, "AAS", "")
sAllowExt = Replace(sAllowExt, "PSP", "")
Loop
%>


第二种修补办法(实质与第一种方法是一样的)
任何情况下都不允许上传asp脚本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")


修补方法:用以下语句替换上面那局话

dim sFileType,Un_FileType,FileType
sFileType= "asp|cer|asa|cdx|htr"
Un_FileType = split(sFileType,"|")
For FileType=0 To Ubound(Un_FileType)
if instr(ucase(sAllowExt),ucase(Un_FileType(FileType)))>0 Then
Response.Write ""
Response.end
end if
next


[本日志由 随然 于 2009-11-29 02:43 PM 编辑]
上一篇: 论坛发贴数级别方案
下一篇: 应对eWebEditor漏洞上传文件500错误的方法
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags: ASP 代码 漏洞
相关日志:
评论: 0 | 引用: 0 | 查看次数: 11742
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 邮件地址支持Gravatar头像,邮箱地址不会公开.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1 字 | UBB代码 关闭 | [img]标签 关闭