ASP上传漏洞的最佳解决方案 - 上海营销型网站建设，网站维护服务提供商，服务热线：400 811 6198

资讯中心

联系我们

服务热线：13701670443

地址：上海市静安区共和新路4718弄10号楼217室

首页 >> 资讯中心 >> 技术文章 >> ASP上传漏洞的最佳解决方案

ASP上传漏洞的最佳解决方案

来源：营销型网站建设-上海邦宁建站发布时间：2012/4/6 阅读：次

其实无论是组件还是非组件上传，都有这个漏洞，以下代码请需要得朋友仔细阅读，只要读懂代码就能融会贯通。

这里以UPLOAD组件上传为例

以下3个关键函数：

[vb] view plain copy print ?

function killext(byval s1) '干掉非法文件后缀
dim allowext
allowext=".JPG,.JPEG,.GIF,.BMP,.PNG,.SWF,.RM,.MP3,.WAV,.MID,.MIDI,.RA,.AVI,.MPG,.MPEG,.ASF,.ASX,.WMA,.MOV,.RAR,.ZIP,.EXE,.DOC,.XLS,.CHM,.HLP,.PDF"
s1=ucase(s1)
if len(s1)=0 then
killext=""
else
if not chk(allowext,s1,",") then
killext=".shit"
else
killext=s1
end if
end if
end function
function chk(byval s1,byval s2,byval fuhao) '检查字符串包含
dim i,a
chk=false
a=split(s1,fuhao)
for i = 0 to ubound(a)
if trim(a(i))=trim(s2) then
chk=true
exit for
end if
next
end function
function gname(byval n1) '以日期自动产生目录和文件名，参数1生成目录，参数2生成文件名（无后缀）
dim t,r
t=now()
randomize(timer)
r=int((rnd+1-1)*9999)
select case n1
case 1
gname=year(t)&right("00"&month(t),2)&right("00"&day(t),2)
case 2
gname=right("00"&hour(t),2)&right("00"&minute(t),2)&right("00"&second(t),2)&right("0000"&r,4)
end select
end function

调用方法：

[vb] view plain copy print ?

附加说明：

黑客如果用 nc 上传非法文件，最终得到的文件只是

如 200511051234559103.shit

之类的“狗屎”文件！

上海邦宁 专业营销型网站建设，网站维护服务提供商！