无组件上传文件-上传文件名漏洞

作者:vkvi 来源:千一网络(原创) 日期:2009-10-11

在 IE6 中,上传文件框的文件地址是可以手写进去,也可以通过点击旁边的“浏览...”按钮选择文件的。

如果用户手输文件地址是:D:\abc\../index.asp,那么该文件实际地址是:D:\index.asp,如果服务器端解析文件名时,没有同时考虑到“/”和“\”,解析出来的文件名就是“../index.asp”,如果直接按这个文件名保存,就保存在了不是我们所期望的目录。

这就是无组件上传程序的上传文件名漏洞,EZA.Upload 不存在该漏洞。

具体可参见上传文件时,如何正确获取文件名

你前面那位网友看了:C# 如何根据属性名称字符串获取属性值

▲▲▲嘿,欢迎转载传播本站原创文章,尽量保留来源噢。▲▲▲

文章评论
标题:必填
内容:
vkvi
vkvi

作者简介: vkvi,致力于 .NET Web 开发、移动开发的技术推广,在 .NET、SQL Server、Windows Server 等方面有深入研究和丰富经验,10 年间共计撰写文章 4000 余篇。 主持金融、国土、农业、电商等多个行业项目执行, 推行“技术提升生产力、人心决定成功率”的管理理论。 联系他