经常听说的ASP上传漏洞，即是将一些木马文件修改后缀名（修改为图像文件后缀），进行上传。

针对此情况使用下列函数进行辨别：

复制代码 代码如下:

<%

'******************************************************************

'CheckFileType函数用来检查文件是否为图片文件

'参数filename是本地文件的路径

'如果是文件jpeg,gif,bmp,png图片中的一种，函数返回true，否则返回false

'******************************************************************

constadTypeBinary=1

dimjpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)

dimbmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)

dimpng(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)

dimgif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)

functionCheckFileType(filename)

onerrorresumenext

CheckFileType=false

dimfstream,fileExt,stamp,i

fileExt=mid(filename,InStrRev(filename,".")+1)

setfstream=Server.createobject("ADODB.Stream")

fstream.Open

fstream.Type=adTypeBinary

fstream.LoadFromFilefilename

fstream.position=0

selectcasefileExt

case"jpg","jpeg"

stamp=fstream.read(2)

fori=0to1

ifascB(MidB(stamp,i+1,1))=jpg(i)thenCheckFileType=trueelseCheckFileType=false

next

case"gif"

stamp=fstream.read(6)

fori=0to5

ifascB(MidB(stamp,i+1,1))=gif(i)thenCheckFileType=trueelseCheckFileType=false

next

case"png"

stamp=fstream.read(4)

fori=0to3

ifascB(MidB(stamp,i+1,1))=png(i)thenCheckFileType=trueelseCheckFileType=false

next

case"bmp"

stamp=fstream.read(2)

fori=0to1

ifascB(MidB(stamp,i+1,1))=bmp(i)thenCheckFileType=trueelseCheckFileType=false

next

endselect

fstream.Close

setfseteam=nothing

iferr.number<>0thenCheckFileType=false

endfunction

%>

那么在应用的时候

复制代码 代码如下:CheckFileType(server.mappath("cnbruce.jpg"))

或者

CheckFileType("F:/web/164/images/cnbruce.jpg"))反正即是检测验证本地物理地址的图像文件类型，返回true或false值

所以这个情况应用在图像上传中，目前的办法是先允许该“伪图像”文件的上传，接着使用以上的自定义函数判断该文件是否符合图像的规范，若是木马伪装的图像文件则FSO删除之，比如：

复制代码 代码如下:file.SaveAsServer.mappath(filename)'保存文件

IfnotCheckFileType(Server.mappath(filename))then

response.write"错误的图像格式"

Setfso=CreateObject("Scripting.FileSystemObject")

Setficn=fso.GetFile(Server.mappath(filename))

ficn.delete

setficn=nothing

setfso=nothing

response.end

endif则是先将文件上传，接着立马使用自定义函数判断文件图像类型的吻合性，FSO做出删除该文件的操作。

ASP上传漏洞还利用""对filepath进行手脚操作

http://www.cnbruce.com/blog/showlog.asp?cat_id=32&log_id=635

针对这样的情况可使用如下函数

复制代码 代码如下:functionTrueStr(fileTrue)

str_len=len(fileTrue)

pos=Instr(fileTrue,chr(0))

ifpos=0orpos=str_lenthen

TrueStr=true

else

TrueStr=false

endif

endfunction接着就可判断后再做文件的上传

复制代码 代码如下:ifTrueStr(filename)=falsethen

response.write"非法文件"

response.end

endif

file.SaveAsServer.mappath(filename)