Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/security/4.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Asp.net assetmanager.aspx已损坏_Asp.net_Security - Fatal编程技术网
Fatal编程技术网
  • asp.net/
  • Asp.net assetmanager.aspx已损坏

Asp.net assetmanager.aspx已损坏

asp.net security

Asp.net assetmanager.aspx已损坏,asp.net,security,Asp.net,Security,运行asp.net后端管理内容系统的非常旧的网站使用WYSIWYG编辑器 <editor:WYSIWYGEditor ID="txtBio" runat="server" scriptPath="../../WYSIWYG/scripts/" Width="100%" AssetManager="../../WYSIWYG/assetmanager/assetmanager.aspx" AssetManagerHeight="550" Ass

运行asp.net后端管理内容系统的非常旧的网站使用WYSIWYG编辑器

<editor:WYSIWYGEditor ID="txtBio"
    runat="server"
    scriptPath="../../WYSIWYG/scripts/"
    Width="100%"
    AssetManager="../../WYSIWYG/assetmanager/assetmanager.aspx"
    AssetManagerHeight="550"
    AssetManagerWidth="570">
</editor:WYSIWYGEditor>
攻击者蛮力强制执行此脚本的路径,然后直接向脚本发送请求,因此能够执行上载命令

assetmanager我无法更新此软件以希望新版本无漏洞(使用该产品需要花费金钱…)

我真的不想在CMS的任何地方删除它,因为它都被编码到每个部分

我的问题是-
在asp.net中,我是否可以找到帖子请求源的请求者,以确定此帖子请求是来自管理页面还是就在
之外,我是否还需要附加用户登录会话检查功能的上载部分?

您能否详细说明哪些脚本被破坏?服务器端?如果是,是否有任何身份验证/授权?客户端?那么攻击者如何在服务器上破坏任何东西呢?
assetmanager.aspx
没有身份验证,但它只在后端被调用,后端在所有cms页面上都有身份验证。攻击能够直接将数据发布到脚本。那么为什么
assetmanager.aspx
没有身份验证?应该是的,没错。身份验证就是这个问题的答案。没有一个攻击者能够做像您描述的那样简单的事情。