assetmanager.aspx遭到入侵

时间:2014-10-22 19:35:13

标签: asp.net security

运行asp.net的旧网站后端ADMIN内容系统使用WYSIWYG编辑器

<editor:WYSIWYGEditor ID="txtBio"
    runat="server"
    scriptPath="../../WYSIWYG/scripts/"
    Width="100%"
    AssetManager="../../WYSIWYG/assetmanager/assetmanager.aspx"
    AssetManagerHeight="550"
    AssetManagerWidth="570">
</editor:WYSIWYGEditor>

攻击者暴力强制执行此脚本的路径,然后直接向脚本发布请求,因此能够执行上传命令......

资产管理员我无法更新此软件,希望新版本没有漏洞(使用该产品需要花钱......)

我真的不想在CMS上随处删除它,因为它全部编码到每个部分......

我的问题是 - in asp.net can I find the requester of the POST's requesting source to determine if this post request is coming from the admin pages or just outside我是否还需要附加用户登录会话检查功能的上传部分?

0 个答案:

没有答案
相关问题
最新问题