昨天说到利用C#代码来判断上传文件的真实格式,以免别有用心者通过修改后缀名的手段来上传木马。

不过,在实际运用过程中,发现该方法无法防范利用“GIf89a”标记伪装为图片文件这种手段。只需在asp文件头部加上“GIF89a”这6个字符,即可让上述代码将文件判定为GIF文件,从而进行上传。

目前尚未找到较好的方式来排除这种伪装手段,只能暂时禁止了所有的gif上传,安全为先。*