则是先将文件上传,接着立马使用自定义函数判断文件图像类型的吻合性,FSO做出删除该文件的操作。
ASP上传漏洞还利用"�"对filepath进行手脚操作
http://www.cnbruce.com/blog/showlog.asp?cat_id=32&log_id=635
针对这样的情况可使用如下函数
function TrueStr(fileTrue) str_len=len(fileTrue) pos=Instr(fileTrue,chr(0)) if pos=0 or pos=str_len then TrueStr=true else TrueStr=false end if end function |
接着就可判断后再做文件的上传
if TrueStr(filename)=false then response.write "非法文件" response.end end if file.SaveAs Server.mappath(filename) |
所以,在Blog中的一文:(ASP)文件系统之化境无组件(v2.0)上传
关于upfile.asp的全新内容如下: