百度Ueditor富文本编辑器 .net版本任意文件上传执行漏掉修复

问题描述：

借由上传网络图片功能中可传递可执行文件。后台代码中只做了文件类型的检测未能正确的拦截掉非法文件。

只需将上传地址改为

XXXXXX.jpg?.aspx最终服务上最终存储的文件会变为XXXXXX.aspx

具体漏洞描述可查看此链接

https://www.freebuf.com/vuls/181814.html

2.解决方法

目前采用的方法是修改CrawlerHandler 中Fetch()方法，在其中增加了文件后缀名的检测

posted @ 2018-12-17 14:32 风枫疯阅读(1636) 评论(0) 编辑收藏举报

刷新页面返回顶部

风枫疯