1、能直接上传asp文件的漏洞
描述:网站存在上传页面且对上传文件扩展名过滤不严,导致黑客能直接上传ASP文件。
案例:动网5.0/6.0论坛的upfile.asp页面、动感购物商城、动力上传漏洞等。
防范方法:采用最新版程序建站(如动网7.1以上版本),删除有漏洞的上传页面,或在上传程序中添加安全代码禁止上传特定类文件。
2、00上传漏洞
描述:利用工具伪造IP包,突破服务器端对上传文件名、路径的判断,巧妙上传ASP、ASA、CGI等类型的木马。
案例:上传“xiaomm.asp空格.jpg”,服务器保存为“xiaomm.asp”。
防范方法:最安全的方法是删除上传页面。
3、图片木马上传漏洞
描述:将本地木马文件扩展名改为图片格式(如.gif)进行上传,然后通过后台功能恢复成原扩展名(如.asp)。
案例:动网7.1SP1博客功能的备份数据库功能被利用。
防范方法:删除后台管理中的恢复/备份数据库功能。
4、添加上传类型漏洞
描述:允许后台添加上传类型,黑客可注入获取管理员账号密码后添加上传类型并上传木马。
案例:bbsxp后台允许添加asa|asP类型,ewebeditor后台允许添加asa类型。
防范方法:删除后台管理中的添加上传类型功能。
ASP上传漏洞主要包括能直接上传asp文件的漏洞、00上传漏洞、图片木马上传漏洞以及添加上传类型漏洞,这些漏洞可能导致黑客上传恶意文件到服务器,进而控制网站,防范措施包括采用最新版程序、删除有漏洞的上传页面、禁止上传特定类文件、删除后台管理中的恢复/备份数据库功能和添加上传类型功能等。
小伙伴们,上文介绍asp 上传漏洞的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/88655.html