这个asp上传的漏洞怎么修复
日期:2014-05-17 浏览次数:20907 次
这个asp上传的漏洞如何修复?
#这个Bug可以上传任何文件到任何目录,请求各位大侠帮帮忙,如何修复一下这个Bug###
<!--#include file="conn.asp" -->
<!--#include file="checklogin.asp" -->
<%
uppath=request("pt")&"/"
filelx=request("fl")
formName=request("fNa")
EditName=request("ENa")
if len(uppath)<=1 then uppath="/520/"
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link href="images/css.css" rel="stylesheet" type="text/css">
<script language="javascript">
<!--
function mysub()
{
esave.style.visibility="visible";
}
-->
</script>
<style type="text/css">
<!--
body {
background-image: url(css/ktv52/vip/diban2.jpg);
}
-->
</style><title>标题</title></head>
<body>
<p> </p>
<p> </p>
<p> </p>
<form name="form1" method="post" action="uf.asp?a=gh" enctype="multipart/form-data" >
<div id="esave" style="position:absolute; top:18px; left:40px; z-index:10; visibility:hidden">
<TABLE WIDTH=340 BORDER=0 CELLSPACING=0 CELLPADDING=0>
<TR><td width=20%></td>
<TD bgcolor=#ff0000 width="60%">
<TABLE WIDTH=100% height=120 BORDER=0 CELLSPACING=1 CELLPADDING=0>
<TR>
<td bgcolor=#ffffff align=center><font color=red>正在上传头像,请稍候...</font></td>
</tr>
</table>
</td><td width=20%></td>
</tr></table></div>
<table width="90%" border="0" align="center" cellpadding="3" cellspacing="1" background="css/ktv52/vip/diban2.jpg" bgcolor="#FFFFFF" class="tableBorder">
<tr>
<td align="center" background="images/admin_bg_1.gif"><b><font color="#ffffff">俱乐部上传 <input type="hidden" name="filepath" value="<%=uppath%>">
<input type="hidden" name="filelx" value="<%=filelx%>">
<input type="hidden" name="EditName" value="<%=EditName%>">
<input type="hidden" name="FormName" value="<%=formName%>">
<input type="hidden" name="act" value="uploadfile"></font></b>
</td>
</tr>
<tr >
<td align="center" id="upid" height="80">选择图片文件:
<input type="file" name="file1" size="40" class="tx1" value="">
<input type="submit" name="Submit" value="开始上传" class="button" onClick="javascript:mysub()">
</td>
</tr>
</table>
</form>
</body>
</html>
------解决方案--------------------
你用的啥方式上传的? 没看到上传的代码啊
------解决方案--------------------
你给出的都是个界面布局,核心代码呢?那谁能知道怎么办
“可以上传任何文件到任何目录”
可以限定扩展名,来限定只有哪些文件才可以上传;目标么,你可以写死了到某个位置
------解决方案--------------------
上传定入的代码都没有,怎么知道漏洞怎么补。。。。
------解决方案--------------------
限制进入目录的权限就可以。
#这个Bug可以上传任何文件到任何目录,请求各位大侠帮帮忙,如何修复一下这个Bug###
<!--#include file="conn.asp" -->
<!--#include file="checklogin.asp" -->
<%
uppath=request("pt")&"/"
filelx=request("fl")
formName=request("fNa")
EditName=request("ENa")
if len(uppath)<=1 then uppath="/520/"
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<link href="images/css.css" rel="stylesheet" type="text/css">
<script language="javascript">
<!--
function mysub()
{
esave.style.visibility="visible";
}
-->
</script>
<style type="text/css">
<!--
body {
background-image: url(css/ktv52/vip/diban2.jpg);
}
-->
</style><title>标题</title></head>
<body>
<p> </p>
<p> </p>
<p> </p>
<form name="form1" method="post" action="uf.asp?a=gh" enctype="multipart/form-data" >
<div id="esave" style="position:absolute; top:18px; left:40px; z-index:10; visibility:hidden">
<TABLE WIDTH=340 BORDER=0 CELLSPACING=0 CELLPADDING=0>
<TR><td width=20%></td>
<TD bgcolor=#ff0000 width="60%">
<TABLE WIDTH=100% height=120 BORDER=0 CELLSPACING=1 CELLPADDING=0>
<TR>
<td bgcolor=#ffffff align=center><font color=red>正在上传头像,请稍候...</font></td>
</tr>
</table>
</td><td width=20%></td>
</tr></table></div>
<table width="90%" border="0" align="center" cellpadding="3" cellspacing="1" background="css/ktv52/vip/diban2.jpg" bgcolor="#FFFFFF" class="tableBorder">
<tr>
<td align="center" background="images/admin_bg_1.gif"><b><font color="#ffffff">俱乐部上传 <input type="hidden" name="filepath" value="<%=uppath%>">
<input type="hidden" name="filelx" value="<%=filelx%>">
<input type="hidden" name="EditName" value="<%=EditName%>">
<input type="hidden" name="FormName" value="<%=formName%>">
<input type="hidden" name="act" value="uploadfile"></font></b>
</td>
</tr>
<tr >
<td align="center" id="upid" height="80">选择图片文件:
<input type="file" name="file1" size="40" class="tx1" value="">
<input type="submit" name="Submit" value="开始上传" class="button" onClick="javascript:mysub()">
</td>
</tr>
</table>
</form>
</body>
</html>
------解决方案--------------------
你用的啥方式上传的? 没看到上传的代码啊
------解决方案--------------------
你给出的都是个界面布局,核心代码呢?那谁能知道怎么办
“可以上传任何文件到任何目录”
可以限定扩展名,来限定只有哪些文件才可以上传;目标么,你可以写死了到某个位置
------解决方案--------------------
上传定入的代码都没有,怎么知道漏洞怎么补。。。。
------解决方案--------------------
限制进入目录的权限就可以。
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
