WooYun.org

修复方案：添加代码加登陆验证
程序代码
private void Page_Load(object sender, System.EventArgs e) { 　　string isframe = "" + Request["frame"]; 　Freetextbox上传图片是直接保留原文件名的，这个地方做个修改，上传文件使用时间串做文件名。修改方式如下：
　　找到
程序代码
UploadFileNameUploadFileName = UploadFileName.Substring(UploadFileName.LastIndexOf("\\")+1); 　　在其下面添加以下代码
　　
程序代码
//*********************
　　UploadFileName = DateTime.Now.ToString() + UploadFileName.Remove(0, UploadFileName.LastIndexOf("."));
　　UploadFileName = UploadFileName.Replace(":", "").Replace("-", "").Replace(" ", "");
　　//by Yation.Team 2009/7/17 上传文件用时间重命名
以前已经有人公布过fb暴路径的方法
http*****.cn/helps/ftb.imagegallery.aspx?frame=1”在地址后面加上&rif=..&cif=..在访问 整个网站的目录就呈现在眼前了,下面还有上传删除等按钮...
修正方式如下：
　　找到
程序代码
if (cif != "" && rif != "") {
　　把RootImagesFolder.Value = rif;替换成
　　
程序代码
//*****************************
　　RootImagesFolder.Value = DefaultImageFolder;
　　Array srtArray = cif.Split('\\');
　　string str = srtArray.GetValue(0).ToString();
　　if (str != DefaultImageFolder)
　　{
　　cif = DefaultImageFolder;
　　}
　　cif = cif.Replace("..\\", "").Replace("../","");
　　//防止越级查看文件 by kook. - 2011.2.22