绕过SESSION验证

今天无聊 忽然在想如下情形:
如果某服务器进行了Session验证,恰好又开了上传附件功能(大多站点都有论坛),
我如果上传了一个ASPX页面用户创建SESSION,
然后在浏览器中输入地址去打开这个ASPX页面(此时SESSION已创建),
再转到我需要绕过SESSION的页面,就成功的绕过了SESSION验证,请问这样是不是有可能?

解决方案 »

  1.   

    上传页面怎么能创建session那,这个就要看它这个画面怎么处理的
    比如有些允许游客登陆的,只是临时创建了一个游客的身份,但是到其它主画面应该对这些用户有权限设置的。
      

  2.   

    不行,因为这个ASPX文件通常并不能直接访问,下载文件要经过某个别的页面进行下载,也就是说你上传的ASPX只是被当作普通文件下载,并不会在服务端被解释运行
      

  3.   

    哪一个愚蠢的论坛是允许你上传aspx页面而且还允许你直接以url访问呢?我似乎从来没有看过商品化web应用是这样的!印象中,几年前我看过两个asp.net程序员这样写程序,但那是公司里很低级的程序员,他们做的东西只能作为垃圾在系统上线前被清理掉,怎么可能成为商品化产品呢?
      

  4.   

    除非你是通过FTP上传的页面,或者你自己写的程序有漏洞,允许直接上传脚本文件,否则别想传aspx文件到服务器上直接访问,那可是致命的安全问题,有点头脑的程序员都会想到的。如果真给上传了aspx页面又不改它扩展名就可以访问的话,不光可以自己创建Session,连操作数据库都可以了。
      

  5.   

    呵呵,传一个asp\aspx文件,运行一下,创建一个session