2021-11-02

最新推荐文章于 2022-02-28 14:04:37 发布
最新推荐文章于 2022-02-28 14:04:37 发布
阅读量61 收藏
点赞数
分类专栏: c#常用通用方法 文章标签: c# asp.net
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46603687/article/details/121098631
版权

富文本编辑器恶意上传漏洞–解决方法

问题描述:借助上传网络图片功能,向asp.net项目中上传可执行那文件。
后台代码原先处理方式:

if (response.StatusCode != HttpStatusCode.OK)
            {
                State = "Url returns " + response.StatusCode + ", " + response.StatusDescription;
                return this;
            }
            if (response.ContentType.IndexOf("image") == -1)
            {
                State = "Url is not an image";
                return this;
            }

只对上传文件名做了控制,如果将上传地址改为:xxxx.jpg?.aspx,最终服务上接收的会变成xxxx.aspx,出现的问题会有:政府网站首页被恶意更改,IP会打开恶意首页等。
解决办法:
修改CrawlerHandler中的Fetch()方法,在中间增加文件后缀名检测。

var fileExtension = Path.GetExtension(ServerUrl);
            var allowExtension = new List<string>() { ".docx", ".doc", ".xsl",".xslt",".jpg",".jpeg",".png",".gif"};
            if (!allowExtension.Contains(fileExtension.ToLower()))
            {
                State = "Url is not an image";
                return this;
            }

具体位置

翎翔
关注
专栏目录
2021-11-06
a1375553490的博客
11-06 1006
EEGLAB安装 安装教程 加载和显示数据
2021-02-03
qq_37135047的博客
02-03 1107
/** * 隐藏虚拟按键,并且全屏 */ protected void hideBottomUIMenu() { //隐藏虚拟按键,并且全屏 if (Build.VERSION.SDK_INT > 11 && Build.VERSION.SDK_INT < 19) { // lower api View v = this.getWindow().getDecorView(); ...
CVE-2021-22205——Gitlab 远程命令执行漏洞复现
LiBai'S BLOG
11-10 9155
CVE-2021-22205Vuln Impact影响版本环境Fofa语法漏洞利用脚本反弹ShellEXP Vuln Impact An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that were passed to a file parser which resulted in a .
2021-11-02.md
11-03
2021-11-02.md
lu分解的matlab源代码-ENM502-2021-hw2:ENM502-2021-HW2
05-23
2021-02-21 分配2 LU分解 介绍 在本作业中,我们将在Matlab中实现LU分解。 基本上,下-上( LU )分解或因式分解因子a是下和上三角矩阵的乘积。 运算次数约为O(n^3) ,其中n是分解矩阵的一维。 $$ A = LU $$,看起来...
FragmentAnalysis_2021-02-11
02-12
《FragmentAnalysis_2021-02-11》是一个与MATLAB相关的项目,从其标题和描述来看,这可能是一个在2021年2月11日完成的关于碎片分析(Fragment Analysis)的科研或教学资源。MATLAB是MathWorks公司开发的一种广泛应用...
Snipaste_2021-11-23_11-02-41.png
11-23
图片
C#与Android之间的实时视频传输——c#上位机篇(通过usb线连接)
qq_46603687的博客
06-21 1336
adb转端口号 private void Trans() { Process p = new Process(); //实例一个Process类,启动一个独立进程 p.StartInfo.FileName = "cmd.exe"; p.StartInfo.UseShellExecute = false; //关闭Shell的使用 p.StartInfo.RedirectStandardIn.
进度条颜色更迭---不同进度显示不同颜色
qq_46603687的博客
06-23 1332
自定义进度条控件,重绘系统控件(方案一) public partial class CustomProgressBar : ProgressBar { public CustomProgressBar() { InitializeComponent(); this.SetStyle(ControlStyles.UserPaint, true); } protected override
c# winform h.265解码
qq_46603687的博客
05-26 1127
第一步: 运行install.bat文件,本地注册队友activex控件. 第二步: 工具箱–选项卡–com–选择aPlayrer,随后作为普通控件使用 第三步: 程序运行前,必须在电脑上先注册控件,否则会导致程序应用报错打不开. ...
c#获取照片的拍摄日期
qq_46603687的博客
04-21 957
下载NuGet包:Microsoft.WindowsAPICodePack-Shell 添加引用:using Microsoft.WindowsAPICodePack.Shell; 以下为获取照片时间的方法: public string GetMediaTimeLen(string path) { var file = path; ShellObject obj = ShellObject.FromParsingName(file); var takenDate = obj.
form.show()与form.showdialog()区别
qq_46603687的博客
06-24 710
非模态窗口 1、 form.show() 后不影响程序运行。 form.show() 后form界面控件不显示则需要添加form.Update()。 form.show()后form界面控件显示不全则需要采用双缓冲办法: protected override CreateParams CreateParams { get { CreateParams cp = base.CreateParams;
MVC界面前端HTML传值到控制器的方法
qq_46603687的博客
02-28 680
前端 1 <html> 2 <head> 3 <meta name="viewport" content="width=device-width" /> 4 <title>Test</title> 5 </head> 6 <body> 7 <form action="/Home/Test" method="post"> 8 <div> 9
获取视频文件的时长
qq_46603687的博客
04-21 667
获取视频文件的时长 以下为项目源码,直接可用 private long GetFileTime(FileInfo info, out string infoLength) { if (info.Extension.ToLower() == “.jpg”) { infoLength = “00:00:00”; return 0; } string strPath = info.FullName; long bolSec = 0; infoLength = “00:00:00”; try { // 2016-0
c# 显示桌面调用
qq_46603687的博客
05-08 664
C#中,使用 显示桌面 的功能,实际就是使用 Shell.Application 去执行 ToggleDesktop 这个功能,代码如下: Type shellType = Type.GetTypeFromProgID("Shell.Application"); object shellObject = System.Activator.CreateInstance(shellType); shellType.InvokeMember("ToggleDesktop", System.Reflection.
解压zip文件自动覆盖实现主程序自动更新功能
qq_46603687的博客
06-21 553
必须下载nuget上的donetzip的dll引用文件。 using Ionic.Zip; using System; using System.Collections.Generic; using System.Diagnostics; using System.IO; using System.Threading; using System.Windows.Forms; using System.Xml; namespace UpgraderA { public partial class U
2021-11-02 操作系统实验3——生产者消费者实验
最新发布
05-23
生产者消费者问题是一个经典的同步问题,其中生产者和消费者共享一个缓冲区,生产者向缓冲区中生产产品,消费者从缓冲区中消费产品。在多线程的环境下,生产者和消费者可能会同时访问缓冲区,因此需要对缓冲区进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值