Moi*_*man 3 c# asp.net iis windows-server-2008
我也提出了上传的.aspx文件的内容.当我试图访问它,我得到提示输入密码,看代码,有一个harcoded密码,但看起来有些MD5加密是怎么回事,我不能让在看背后是什么密码保护这个黑客页面.有人可以帮助我们通过密码保护吗?
他们的文件被调用wjose.aspx,我已将代码粘贴到jsbin中以便于查看:http://jsbin.com/uhoye3/edit#html
我已经有问题的服务器/基于主机的版本上serverfault.com要求措施,以避免在未来:https://serverfault.com/questions/206396/attempted-hack-on-vps-how-以保护功能于未来-什么-是-他们,试图-待办事项
如果您运行asp.net并且仅在标记时,则只需在用户上载文件的根目录中添加此web.config.使用该web.config,您不允许任何人在此目录树上运行aspx页面.
受保护的web.config必须仅包含:
<configuration>
<system.web>
<authorization>
<deny users="*" />
</authorization>
</system.web>
</configuration>
使用此web.config,您的程序仍然可以在此目录上读取和写入图像和其他文件,但无法运行aspx和其他正在运行的asp.net扩展.
当然,你必须在上传和重命名时检查所有已知的正在运行的文件扩展名,包括但不限于.exe .php .aspx .com .asp .ashx这是我相信第一个必须做的,但要确定没有找到任何其他方法来运行未知的东西是web.config和仅限于dot.net.
只需在http://jsbin.com/uhoye3/edit#html上注释/删除所有这些行 ,你就会看到它正在运行,因为在这一点上检查密码并在失败时返回false.如果继续,则取消密码部分.
if (Request.Cookies[vbhLn].Value != Password)
{
tZSx();
return false;
}
| 归档时间: |
|
| 查看次数: |
6585 次 |
| 最近记录: |