论坛: 编程破解 标题: 脚本写的上传头像希望管理员看看 复制本贴地址    
作者: hsmw [hsmw]    论坛用户   登录
站点上传头像写的脚本,请看下有那里有错误和 漏洞。
听说 sevr-u 漏洞是可以上传东西上网站,就可黑服务器。
会被黑吗?
<SCRIPT language=javascript>       
 
var Error=2; 
if (Error=="1") alert("您的照片文件大小超过了100KB,请处理后再上传!"); 
if (Error=="0") alert("照片上传成功!"); 
 
function Preview()     
{     
PP=CutSpace(fPhoto.PhotoPath.value);     
if (PP=="") { alert("请输入照片文件所在路径!"); return; }     
PL=PP.length;     
PP=(PP.substr(PL-3,3)).toLowerCase();     
if (PL<=3 || (PP!="gif" && PP!="jpg")) { alert("选取的文件格式不符,只能为jpg、gif"); return; }     
document.Photo.src=fPhoto.PhotoPath.value;     
}     
     
function AddPhotoCheck()     
{                 
PP=CutSpace(fPhoto.PhotoPath.value); 
if (PP=="") { alert("请输入照片文件所在路径!"); return false; } 
PL=PP.length; 
PP=(PP.substr(PL-3,3)).toLowerCase(); 
if (PL<=3 || (PP!="gif" && PP!="jpg")) { alert("选取的文件格式不符,只能为jpg、gif"); return false; } 
return true; 

 
function closePhoto() 

if (!confirm("真的要屏蔽照片吗?")) return; 
window.location.href="actPhoto.asp?PhotoType="; 

 
function openPhoto() 

if (!confirm("真的要开放照片吗?")) return; 
window.location.href="actPhoto.asp?PhotoType="; 

 
function deletePhoto() 

if (!confirm("真的要删除照片吗?")) return; 
window.location.href="actPhoto.asp"; 


function oWorkPlace_onchange()     
{     
var thiscat=fSearch.oWorkPlace.value;     
var NowKind=thiscat.substring(2,4);     
       
if (NowKind=="01") fSearch.oWorkPlace.options[fSearch.oWorkPlace.selectedIndex-1].selected=true;         
}       
 
</SCRIPT>   


地主 发表时间: 04-02-07 21:00
回复: NetDemon [netdemon]   ADMIN   登录
你这只是客户端的预处理,有没有漏洞主要是看运行在服务器上的程序(就是那些asp)
对于一个熟悉web编程的人来说,javascript有和没有是一样的,只能用来避免一些用户的误操作,而起不到任何的安全作用。比如文件名后缀,文件大小的限制,在asp那边还是有再做一次。

B1层 发表时间: 04-02-07 23:11
回复: kenter1643 [kenter1643]   论坛用户   登录
NetDomon讲得对~~~~~~~~~~~如果入侵服务器端才是我们的目的
看一下NetDomon这个论坛就知道你在客户端根本就得不到什么东西~~~~~~~~``
郁闷~~~~~短短几行代码

B2层 发表时间: 04-02-08 19:30
回复: aserict [aserict]   论坛用户   登录
说得VERY GOOD

B3层 发表时间: 04-02-08 20:56
回复: hsmw [hsmw]   论坛用户   登录
我怎么看 漏洞所在????

B4层 发表时间: 04-02-10 11:30
回复: newekin [newekin]      登录
你自己做一个表单  提交上去看看就知道了。

B5层 发表时间: 04-02-10 11:48

论坛: 编程破解

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号