由一个园友因为上传漏洞导致网站被攻破而得到的教训

帖子地址：
http://www.cnblogs.com/sanshi/p/3150639.html

首先要确保上传文件、保存上传文件目录的安全性。



一个被遗忘的包子 只验证后缀名还是不行，最好验证一下上传文件的MIME，并且上传的文件最好是单独存放

平如水 上传目录禁止运行脚本，这是必须要做的。iis,apache都很方便做到这一点。iis曾经有过jpg后缀漏洞执行脚本，谁也不能保证它以后会不会再有类似的漏洞。



“始作俑者 ”


ice_sky 1、偶然间发现上传页面可以上传所有的文件类型，第一次上传了一个ASPX木马，真的可行，发现只有D盘站点目录和C盘有权限。
2、 在测试写权限的时候，为图方便，直接在首页里面保存了一段无意义的源代码，可是我这个ASPX马在写文件的时候用的Encording.Default跟 网站的编码方式不一样，一下把网站弄成了乱码，当时就慌了，试着联系站长，自己想想，当想到可以下载下来在自己电脑上改的时候，已经将编码改的中文内容丢 失了，无能为力了。
3、然后就尝试在站点里面找备份文件，各种找啊找的，没找到，遂放弃。
4、想进一步控制服务器，就在里面找线索，看到 装了有MYSQL服务器，无奈没有对外网开放，或者是端口改了，就想逗逗管理员，在论坛的源码配置文件里发现MYSQL的用户名和密码，然后尝试一下利用 社会工程学猜解一下FTP密码吧，没想到真成功了，之前一直做的工作都是想通过SQL语句将DZ论坛中的管理员密码导出来，看看能不能自己直接上管理员账 户，尝试这么长时间之后，发现不行，放弃了。
5、获得了FTP账号和密码之后，这时候我的权限就很大了，然后在网上下载了一个DZ 1.5论坛的一个急救箱，通过FTP上传上去，直接把你密码改了，把我解禁的账号恢复了。又怕你登不上论坛做不了管理，就用另外一个账号发了个内容隐晦的帖子告诉你密码。

后： 感觉要是用你上面发的那个IP给你做这个回复，或许说服力更大，无奈我是ADSL用户，怎么刷都刷不回那个IP了，算了。我不是黑客，我也是.Net学 生，从一个群里了解到FineUI，就看看官网，看到官网上那么多No，什么No JS，No CSS，No……，就考虑，这么多NO，会不会给服务器造成很大压力，然后翻了翻DEMO，看到上传，就无意中上传个这东西试试，没想到真行得通。对于把 FineUI首页编码搞乱，真实抱歉，无意的。