返回
应用技巧:解决asp图像上传漏洞--

应用技巧:解决asp图像上传漏洞--

ID:10756036

大小:53.50 KB

页数:3页

时间:2018-07-08

应用技巧:解决asp图像上传漏洞--_第1页
应用技巧:解决asp图像上传漏洞--_第2页
应用技巧:解决asp图像上传漏洞--_第3页
资源描述:

《应用技巧:解决asp图像上传漏洞--》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、应用技巧:解决ASP图像上传漏洞>>常听说的ASP上传漏洞,即是将一些木马文件修改后缀名(修改为图像文件后缀),进行上传。针对此情况使用下列函数进行辨别:<%'******************************************************************'CheckFileType函数用来检查文件是否为图片文件'参数filename是本地文件的路径'如果是文件jpeg,gif,bmp,png图片中的一种,函数返回true,否则返回false'*******

2、***********************************************************constadTypeBinary=1dimjpg(1):jpg(0)=CByte(HFF):jpg(1)=CByte(HD8)dimbmp(1):bmp(0)=CByte(H42):bmp(1)=CByte(H4D)dimpng(3):png(0)=CByte(H89):png(1)=CByte(H50):png(2)=CByte(H4E):png(3)=CByte(H47)dim

3、gif(5):gif(0)=CByte(H47):gif(1)=CByte(H49):gif(2)=CByte(H46):gif(3)=CByte(H39):gif(4)=CByte(H38):gif(5)=CByte(H61)functionCheckFileType(filename)onerrorresumenextCheckFileType=falsedimfstream,fileExt,stamp,ifileExt=mid(filename,InStrRev(filename,".")+1

4、)setfstream=Server.createobject("ADODB.Stream")fstream.Openfstream.Type=adTypeBinaryfstream.LoadFromFilefilenamefstream.position=0selectcasefileExtcase"jpg","jpeg"stamp=fstream.read(2)fori=0to1ifascB(MidB(stamp,i+1,1))=jpg(i)thenCheckFileType=trueelseC

5、heckFileType=falsenextcase"gif"stamp=fstream.read(6)fori=0to5ifascB(MidB(stamp,i+1,1))=gif(i)thenCheckFileType=trueelseCheckFileType=falsenextcase"png"stamp=fstream.read(4)fori=0to3ifascB(MidB(stamp,i+1,1))=png(i)thenCheckFileType=trueelseCheckFileType

6、=falsenextcase"bmp"stamp=fstream.read(2)fori=0to1ifascB(MidB(stamp,i+1,1))=bmp(i)thenCheckFileType=trueelseCheckFileType=falsenextendselectfstream.Closesetfseteam=nothingiferr.number<>0thenCheckFileType=falseendfunction%>那么在应用的时候CheckFileType(server

7、.mappath("bruce.jpg"))或者CheckFileType("F:/ages/bruce.jpg"))反正即是检测验证本地物理地址的图像文件类型,返回true或false值所以这个情况应用在图像上传中,目前的办法是先允许该“伪图像”文件的上传,接着使用以上的自定义函数判断该文件是否符合图像的规范,若是木马伪装的图像文件则FSO删除之,比如:file.SaveAsServer.mappath(filename)'保存文件IfnotCheckFileType(Server.mappath

8、(filename))thenresponse.Object")Setfi=fso.GetFile(Server.mappath(filename))fi.deletesetfi=nothingsetfso=nothingresponse.endendif则是先将文件上传,接着立马使用自定义函数判断文件图像类型的吻合性,FSO做出删除该文件的操作。12下一页>>>>这篇文章来自..,。endifendfunction接着就可判断后再做文件的上传ifTrueStr(fi

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。