首页 新闻 会员 周边 捐助

CuteEditor脚本文件上传漏洞如何修复?

0
悬赏园豆:100 [已解决问题] 解决于 2015-10-16 14:54

见网上写的修复方案:

向[CuteEditor]CuteEditor.b::f(string):string方法定义的非法字符列表中添加分号

程序加到哪里?如何写?

 

漏洞说明参见:

http://www.wooyun.org/bugs/wooyun-2010-061932

 

逍遥人生的主页 逍遥人生 | 初学一级 | 园豆:112
提问于:2015-09-14 16:44
< >
分享
最佳答案
0

不要用iis6,这个漏洞只针对iis6,别用2003

收获园豆:100
羽商宫 | 老鸟四级 |园豆:2490 | 2015-09-15 09:27

没有别的办法吗?服务器现在只能用IIS6

逍遥人生 | 园豆:112 (初学一级) | 2015-09-16 10:37

@逍遥人生: http://drops.wooyun.org/papers/539

羽商宫 | 园豆:2490 (老鸟四级) | 2015-09-16 10:40

@羽商宫: 在不安装其它软件的情况下有没有解决办法?

逍遥人生 | 园豆:112 (初学一级) | 2015-09-17 09:07

@逍遥人生: 对上传的文件名做修改,或者对上传的文件的格式做进一步确认,不光验证后缀,对于文件头也进行验证

羽商宫 | 园豆:2490 (老鸟四级) | 2015-09-17 12:22

@羽商宫: 这个上传是CuteEditor的程序完成的,如果是自己写的程序就好加过滤了。

逍遥人生 | 园豆:112 (初学一级) | 2015-09-18 15:22

@逍遥人生: 你对上传的东西一点也没有做操作么?

羽商宫 | 园豆:2490 (老鸟四级) | 2015-09-18 15:24

@羽商宫: 这个漏洞直接调用CuteEditor的一个上传程序,也就是可以不通过CuteEditor,直接调用上传。

逍遥人生 | 园豆:112 (初学一级) | 2015-09-21 08:50
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册