漏洞 文件 :upfile. asp x 我先贴98行到130行代码出来,看着有点搞笑! 01 } 02 function chkform() 03 { 04 05 if ($("fm_file").value=="") 06 { 07 // alert("请先点击[浏览...]按钮,选择你要上传的文件!"); 08 return false; 09 } 10 else 11 { 12 <%if (r_show=="picture" || r_show=="picture1"){%> 13 if (!($("fm_file").value.substr($("fm_file").value.length-3).toLowerCase() 14 =="jpg" 15 || $("fm_file").value.substr($("fm_file").value.length-3).toLowerCase()=="gif" 16 || $("fm_file").value.substr($("fm_file").value.length-3).toLowerCase()=="png" 17 || $("fm_file").value.substr($("fm_file").value.length-4).toLowerCase()=="jpeg" 18 ) ) 19 { 20 alert("上传文件错误!\n必须上传图片格式的文件(*.jpg ; *.gif ; *.png ; *.jpeg)。") 21 $("fm_file").value=""; 22 return false; 23 } 24 25 26 <%} %> 27 28 <%if (r_bz!=""){%> 29 $("fm_bz").value=$("<%=r_bz%>").value; 30 <%} %> 31 return true; 32 } 33 } 后缀压根没验证- -! 漏洞利用 : 上传页面:http://www.2cto.com /xtwh/upfile.aspx 直接上传aspx大马 、 www.2cto.com修复: 过滤后缀
查看更多关于医院建站系统任意文件上传漏洞及修复 - 网站安的详细内容...