c# – 我被黑了.上传的Evil aspx文件名为AspxSpy.他们还在努力.
发布时间:2020-12-16 01:39:31 所属栏目:百科 来源:网络整理
导读:我也提出了上传的.aspx文件的内容.当我尝试访问它时,系统会提示输入密码,查看代码,有一个带密码的密码,但看起来有些MD5加密正在进行,我无法查看密码保护的背后是什么这个黑客页面.有人可以帮助我们通过密码保护吗? 他们的文件名为wjose.aspx,我将代码粘贴到
|
我也提出了上传的.aspx文件的内容.当我尝试访问它时,系统会提示输入密码,查看代码,有一个带密码的密码,但看起来有些MD5加密正在进行,我无法查看密码保护的背后是什么这个黑客页面.有人可以帮助我们通过密码保护吗?
他们的文件名为wjose.aspx,我将代码粘贴到jsbin中以便于查看:http://jsbin.com/uhoye3/edit#html 我已经在serverfault.com上找到了一个基于服务器/主机的问题版本,要求在将来采取措施防止这种情况发生:http://www.voidcn.com/article/p-vgkducaf-bty.html 解决方法
如果您运行asp.net并且仅在标记时,则只需在用户上载文件的根目录中添加此web.config.使用该web.config,您不允许任何人在此目录树上运行aspx页面.
受保护的web.config必须仅包含: <configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
使用此web.config,您的程序仍然可以在此目录上读取和写入图像和其他文件,但无法运行aspx和其他正在运行的asp.net扩展. 检查文件扩展名上传 当然,您必须在上传和重命名时检查所有已知的正在运行的文件扩展名,包括但不限于.exe .php .aspx .com .asp .ashx 你问的密码 只需在http://jsbin.com/uhoye3/edit#html上注释/删除所有这些行,你就会看到它正在运行,因为在这一点上检查密码并在失败时返回false.如果继续,则取消密码部分. if (Request.Cookies[vbhLn].Value != Password)
{
tZSx();
return false;
}
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |