Tjenare.
Jag använder ASPupload som komponent och det har nu visat sig att det går att utnyttja detta till att bli admin. Killen sade att han laddade upp ASP eller PHP-kod för att manipulera sig själv och bli admin. Har nu letat som ingen annan efter en lösning på problemet - utan resultat.

Det jag vill göra är att alltså ENDAST tillåta .gif och .jpg-mime för att förhindra att detta sker. Sidan ligger tillfälligt uppe på IIS5 då min andra server krashade och IIS5 är nästan oanvändbart.

Självklart har jag sätt till att andra filer än dessa inte ska sparas. MEN ASPupload läser av filers mime-typ och lägger upp filen på servern samt tar bort den om det är fel filtyp.

Detta skrev han på MSN till mig;
"Spoofad MIME-typ + extension med ASP eller PHP == exekvera kod på servern"
"Problemet är att scriptet litar på MIME-typen"
"Finns två lösningar, enkla och svåra. Typ."
"Enkla är att neka servern att servera allt som slutar på .asp eller .php ifrån katalogen som filer uppladdas till."
"Svåra är att kolla direkt i scriptet."

Vill alltså få ett svar på hur jag löser detta? Dvs. antingen neka .asp/.php eller att bara acceptera en viss mime-typ.

Hur gör jag detta i ASPupload-koden?
Tacksam för svar.

Kan du inte bara kontrollera filtypen när den är uppladdad? Stämmer den inte med vad du vill ha så raderar du filen/filerna.

<code>
For Each File in Upload.Files
If File.ImageType <> "jpg" Or File.ImageType <> "gif" Then
'ingen gif eller jpg, radera filen
File.Delete
End If
Next
</code>

Det fungerar men gick att manipulera tydligen :S
Har givetvis så i koden.

Hur skulle det gå att manipulera? Ser med spänning fram imot lösningen.