问题描述:
借由上传网络图片功能中可传递可执行文件。后台代码中只做了文件类型的检测未能正确的拦截掉非法文件。
只需将上传地址改为
XXXXXX.jpg?.aspx最终服务上最终存储的文件会变为XXXXXX.aspx
具体漏洞描述可查看此链接
https://HdhCmsTestfreebuf测试数据/vuls/181814.html
2.解决方法
目前采用的方法是修改CrawlerHandler 中Fetch()方法,在其中增加了文件后缀名的检测
查看更多关于百度Ueditor富文本编辑器 .net版本 任意文件上传执行漏掉修复的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did299