当前位置: 首页 >>ASP.NET >>ASP.NET实战 >>百度Ueditor富文本编辑器 .net版本 任意文件上传执行漏掉修复

百度Ueditor富文本编辑器 .net版本 任意文件上传执行漏掉修复

时间:2019/9/4 14:33:33 【admin】

目前采用的方法是修改CrawlerHandler 中Fetch()方法,在其中增加了文件后缀名的检测,借由上传网络图片功能中可传递可执行文件。后台代码中只做了文件类型的检测未能正确的拦截掉非法文件。…

问题描述:

借由上传网络图片功能中可传递可执行文件。后台代码中只做了文件类型的检测未能正确的拦截掉非法文件。

 

只需将上传地址改为

XXXXXX.jpg?.aspx最终服务上最终存储的文件会变为XXXXXX.aspx

具体漏洞描述可查看此链接

https://www.freebuf.com/vuls/181814.html

2.解决方法

目前采用的方法是修改CrawlerHandler 中Fetch()方法,在其中增加了文件后缀名的检测

相关文章

CopyRight:2007-2018 语言吧 备案ICP:湘ICP备09009000号-15 http://www.yuyanba.com

分享按钮