前段时间,公司几年前开发的站点受到了攻击,不是SQL注入的攻击,而是aspxspy的攻击,这是一个ASP的页面,以运行CmdShell的方式来获取服务器的信息,但是以后缀名为jpg的文件保存,将其伪装成图片上传至服务器,然后就开始读取服务器上的所有信息,如果在开发的时候就对服务器上各个文件夹的权限做了详细的设置的话,这个程序倒是没有权限去更改服务器上的文件,但是发生这种情况最根本的源头就是未对上传的文件类型做判断,不是简单的去判断文件的后缀名,而是进一步的判断某一文件是否为允许上传的文件类型,具体针对图片的判断其实很简单,用下面的代码就可以简单解决:
View Code
1 private bool IsImage(string filePath)
2 {
3 Image image;
4 try
5 {
6 image = Image.FromFile(filePath);
7 image.Dispose();
8 return true;
9 }
10 catch (Exception ex)
11 {
12 return false;
13 }
14 }
这段代码需要添加对System.Drawing命名空间的引用,现在再测试,如果不是图片,但是后缀名是图片格式的文件,一律都逃不掉。