运行asp.net的旧网站后端ADMIN内容系统使用WYSIWYG编辑器
<editor:WYSIWYGEditor ID="txtBio"
runat="server"
scriptPath="../../WYSIWYG/scripts/"
Width="100%"
AssetManager="../../WYSIWYG/assetmanager/assetmanager.aspx"
AssetManagerHeight="550"
AssetManagerWidth="570">
</editor:WYSIWYGEditor>
攻击者暴力强制执行此脚本的路径,然后直接向脚本发布请求,因此能够执行上传命令......
资产管理员我无法更新此软件,希望新版本没有漏洞(使用该产品需要花钱......)
我真的不想在CMS上随处删除它,因为它全部编码到每个部分......
我的问题是 - in asp.net can I find the requester of the POST's requesting source to determine if this post request is coming from the admin pages or just outside我是否还需要附加用户登录会话检查功能的上传部分?