语言吧技术网欢迎您投稿,程序员的世界我懂你!=====>点此登录投搞
当前位置: 首页 >>ASP.NET >>ASP.NET实战 >>百度Ueditor富文本编辑器 .net版本 任意文件上传执行漏掉修复

百度Ueditor富文本编辑器 .net版本 任意文件上传执行漏掉修复

2019/9/4 14:33:33 0人评论 51次 作者:admin

目前采用的方法是修改CrawlerHandler 中Fetch()方法,在其中增加了文件后缀名的检测,借由上传网络图片功能中可传递可执行文件。后台代码中只做了文件类型的检测未能正确的拦截掉非法文件。…

问题描述:

借由上传网络图片功能中可传递可执行文件。后台代码中只做了文件类型的检测未能正确的拦截掉非法文件。

 

只需将上传地址改为

XXXXXX.jpg?.aspx最终服务上最终存储的文件会变为XXXXXX.aspx

具体漏洞描述可查看此链接

https://www.freebuf.com/vuls/181814.html

2.解决方法

目前采用的方法是修改CrawlerHandler 中Fetch()方法,在其中增加了文件后缀名的检测

相关文章

CopyRight:2007-2018 语言吧 备案ICP:湘ICP备09009000号-15 http://www.yuyanba.com
欢迎【广东省 广州市】的朋友
内容与素材部分来源于网络,如有侵权请告知删除
分享按钮