本站在此之前也被人用利用此漏洞上傳過木馬文件，請使用動力的用戶盡快更新。

--------------------------------------------------------------------------

發(fā)現(xiàn)嚴(yán)重安全漏洞、補丁及解決方法

漏洞現(xiàn)象：黑客可以利用漏洞上傳木馬程序到網(wǎng)站，然后利用木馬進一步取得網(wǎng)站控制權(quán)。

安全等級：嚴(yán)重

受影響的版本：動力/動易所有版本

漏洞分析：
    因上傳文件在設(shè)計上存在著一處考慮不周的情況，使用黑客可以通過自己構(gòu)造上傳文件表單進行提交上傳數(shù)據(jù)，然后上傳擴展名為.cer的文件（此文件也是通過asp.dll）來解析。

解決方法：
1、檢查網(wǎng)站目錄中是否存在擴展名為.cer、.cdx的文件，若有，立即刪除。

2、在網(wǎng)站屬性中刪除全部映射,只留下 .asp .asa兩個。特別要刪除.cer的映射。（可選）
3、修改UpFile_Article.asp、Upfile_Dialog.asp、UpFile_Photo.asp、UpFile_Soft.asp、Upfile_AdPic.asp、UpFile_SoftPic.asp這幾個有關(guān)上傳的文件，找到如下這行：
動易用戶：
for each FormName in objUpload.file '列出所有上傳了的文件
動力用戶：
for each formName in upload.file '列出所有上傳了的文件
在這一行下加上如下這一行代碼：
EnableUpload=False
即可。

或者下載我們提供的補丁。覆蓋原文件。

4、最好檢查一下網(wǎng)站中的所有文件。如果是自己的服務(wù)器，請再檢查是否已經(jīng)上傳了其他木馬程序。

補丁下載：

動易用戶：
http://www.asp163.net/download/patch4x.rar

動力用戶：
http://www.asp163.net/download/patch3x.rar