我正在处理大量易受攻击的经典asp网站,涉及上传文件。
我们需要阻止上传特定上传内容" .exe,.asp,.aspx等等"
但是,我们理想情况下不必修复这些巨大的代码库(许多站点)。
所以我试图想出一个好方法来阻止特定类型的文件全局上传到整个盒子。
我想出了一些,
文件系统观察者是一个好主意,但我读过它可能是不可靠的,并且它将在一台机器上的数百个文件夹上运行。在上传者可以对其进行获取请求之前,它需要足够快以删除错误的上传。
2可能是最好的解决方案,但许多网站都有通配符上传位置"上传到网站根目录的任何地方"所以不会为那些人工作。如果我关闭了根网站上的请求,那么网站就会中断。
3听起来似乎有道理,但我不确定它是否可能。如果我可以使用.Net在c#中创建自己的HttpHandler并将其注册到* .asp并将其放在经典ASP处理程序之前的Web配置中,它将触发ASP请求。
此时我可以检查帖子类型是否为帖子,是否有文件,以及是否允许该文件。
如果它签出,那么我需要将该请求传递给原始处理程序。
任何人都有更好的想法或知道#3是否可能?
更新:我们的防火墙无法阻止asp或aspx上传,我也无法在Windows防火墙中找到办法。