修改一段ASP代码漏洞~~急!
下面这段代码因为还不太完善,存在一些漏洞,所以需要修改一下,使之避免黑客利用这些漏洞攻击网站。我不怎么懂ASP,老板要我明天给他答案。拜托各位啦,如果不会修改的也可以指点一下是哪些地方有漏洞好吗?当然能修改是最好的了。感谢感谢!需要修改的代码:
<%
set upload=new upload_5xSoft
set file=upload.file("file1")
formPath="upload/"
alowfile="jpgjpeggifbmp"
fileExt=mid(file.filename,InStrRev(file.filename,".")+1)
if (file.filesize=0 or (InStrRev(alowfile,fileExt))=0 ) then
'fileExt=lcase(right(file.filename,3))
'if fileExt="asp" then
Response.Write"文件类型非法 或 没有选择文件"
Response.Write"<a href='upload.asp' Onclick=""history.go(-1)"">返回</a>"
'end if
else
randomize
ranNum=int(9000000*rnd)+10000
filename=formPath&year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt
if file.FileSize>0 then
file.SaveAs Server.mappath(FileName)
end if
response.write "图片上传成功,[<a href='435214_upload.asp'>返回继续上传</a>]<br>图片是:<a href=Javascript:minipic('"&filename&"');>缩略图</a> <a href=Javascript:pic('"&filename&"');>放大图</a> <a href=Javascript:pic2('"&filename&"');><font color='#666633'>网站Logo</font></a>"
Response.write "<br><br><input type='button' value='关闭' OnClick=""window.close(this)"">"
end if%>
追问:呵呵,谢谢,我多少明白了些~~判断文件格式我写好了。