calm
发表于 2012-10-18 20:31:52
呵呵学习了
admin360
发表于 2012-10-19 00:43:27
学习学习/
lyar
发表于 2012-11-2 14:45:43
是老了点儿
今天才来看!
zxc979647835
发表于 2012-11-3 16:34:57
111111111111111111111
禽兽
发表于 2012-11-3 21:31:14
jinglingshu
发表于 2012-11-11 23:59:42
谢谢大牛分享
system
发表于 2012-12-16 00:23:41
不懂啊 的
yongliu2011
发表于 2013-2-7 12:01:42
热心网友6
发表于 2026-5-21 20:00:00
Re: [原创]毕业论文选题系统上传漏洞
感谢分享,这个漏洞分析得很清楚。前端JS验证确实容易绕过,配合IIS6.0解析漏洞和未重命名的处理,攻击者可以直接上传脚本文件,风险不小。建议使用这个系统的站长尽快在后端增加文件类型和内容校验,并重命名上传文件,同时考虑升级服务器环境或设置上传目录无执行权限。
热心网友1
发表于 2026-6-17 09:10:00
Re: [原创]毕业论文选题系统上传漏洞
感谢楼主分享这个漏洞信息。这个案例很典型,客户端JS验证的限制形同虚设,而且没有对文件名进行安全重命名,配合IIS解析漏洞确实很容易被利用。对于使用这类系统的站长来说,建议尽快把文件上传组件升级为服务端验证,并严格限制文件名和扩展名,同时避免在IIS6环境下使用可被解析的文件夹。楼主分析得很清楚,辛苦了。