网站中的隐形炸弹eWebEditor文件上传漏洞补丁_安全相关

打开Upload.ASP文件

找到下面代码:

复制代码 代码如下:

<%
    sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
%>

改为:

复制代码 代码如下:

<%
    sAllowExt = UCase(sAllowExt)
    Do While InStr(sAllowExt, "ASP") Or InStr(sAllowExt, "CER") Or InStr(sAllowExt, "ASA") Or InStr(sAllowExt, "CDX") Or InStr(sAllowExt, "HTR")
        sAllowExt = Replace(sAllowExt, "ASP", "")
        sAllowExt = Replace(sAllowExt, "CER", "")
        sAllowExt = Replace(sAllowExt, "ASA", "")
        sAllowExt = Replace(sAllowExt, "CDX", "")
        sAllowExt = Replace(sAllowExt, "HTR", "")
    Loop
%>

转自:KinJAVA日志:http://jorkin.reallydo.com/article.asp?id=206 

时间: 2024-10-30 08:09:43

网站中的隐形炸弹eWebEditor文件上传漏洞补丁_安全相关的相关文章

网站常见漏洞解析:文件上传漏洞

任意文件上传漏洞 文件上传漏洞(File Upload Attack)是由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意PHP文件,并能够将这些文件传递给 PHP 解释器,就可以在远程服务器上执行任意PHP脚本. 一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件. 下面是一个简单的文件上传表单 <form action="upload.php" method="post&qu

node js-node.ja中 当表单含有文件上传时,如何读取数据

问题描述 node.ja中 当表单含有文件上传时,如何读取数据 商品名称 :图片 :(jpg/png小于2M 300*300)为什么我用req.body.salename接受不到参数

在ssh项目中,把一个word文件上传到数据库的blob中,如何读取出来

问题描述 在ssh项目中,把一个word文件上传到数据库的blob中,如何读取出来mysql中的blob只能存放图片吗?要是能存别的格式的文件的话,怎么打开啊? 问题补充:那怎么才能直接打开这个word文档呢 解决方案 问题补充:那怎么才能直接打开这个word文档呢 你读出来写成world文件啊···xx.doc ,应该这样可以吧·· BufferedOutputStream bos = new BufferedOutputStream( new FileOutputStream("/xx.do

文件上传漏洞在惠信中的应用_漏洞研究

近来大家为dvbbs的文件上传漏洞兴奋不已,想想在其他的系统里面能不能用的上呢?我就以惠信新闻系统来抛砖引玉吧!  惠信新闻系统3.1 windows2000+sp4  先看这句代码.admin_uploadfilesave.asp  ...............  Server.mappath(formPath&file.FileName)  ............................  保存时用路径+文件名+后缀名,那我们可以用dvbbs上的漏洞了,只不过我们改的是文件名(因

扫描扫出文件上传漏洞,求大神帮忙解决

问题描述 文件上传漏洞中危漏洞URLhttp://www.xxxx.com参数表单名称:loginForm,提交URL:http://www.xxxx.com详情原始:GET/../../../xxxMain.action?reload=0&siteName=xxxHTTP/1.1User-Agent:Mozilla/4.0(compatible;MSIE8.0;WindowsNT5.1;Trident/4.0;CIBA;.NETCLR2.0.50727;.NETCLR3.0.04506.30)

php文件上传漏洞简单分析

下面是一个简单的文件上传表单  代码如下 复制代码 <form action="upload.php" method="post" enctype="multipart/form-data" name="form1">   <input type="file" name="file1" /><br />   <input type="s

asp.net下大文件上传知识整理_实用技巧

最近做在做ePartner项目,涉及到文件上传的问题. 以前也做过文件上传,但都是些小文件,不超过2M. 这次要求上传100M以上的东西. 没办法找来资料研究了一下.基于WEB的文件上传可以使用FTP和HTTP两种协议,用FTP的话虽然传输稳定,但安全性是个严重的问题,而且FTP服务器读用户库获取权限,这样对于用户使用来说还是不太方便. 剩下只有HTTP.在HTTP中有3种方式,PUT.WEBDAV.RFC1867,前2种方法不适合大文件上传,目前我们使用的web上传都是基于RFC1867标准的

DjangoUEditor 1.9.143任意文件上传漏洞依然存在 黑客可以上传木马 但作者已经停止更新了

DjangoUeditor是将百度开发的富文本编辑器Ueditor移植到Django中的组件,它的使用率还是相当高的.经笔者测试,即便是现在可以下载使用的1.9.143版本中,依然存在着这个漏洞. 虽然这个漏洞距今已经快两年了,但DjangoUeditor于2015年1月17号后,再也没有更新过,见github上作者的说明: DjangoUeditor是什么 Django是Python世界最有影响力的web框架.DjangoUeditor是一款可以在Django应用中集成百度Ueditor HT

视频网站相关的视频解码和特大文件上传等问题

一. 大文件上传分析 需要解决的问题 1.解决客户端请求限制 web.config中的httpRuntime节的 maxRequestLength 参数的默认值为 4096 (4 MB).所以,默认情况下不能上传大于这个值的文件. 我们这里这要更改这个参数即可 2.服务器内存占用问题 利用HttpModule截断http请求.获取HttpWorkerRequest对象然后重新对客户端请求数据进行分块分析整理,这样的处理结果可以使客户端上传的大小不再受限,但是httpRuntime还是会抛出一个页