能直接上传ASP文件的漏洞
　　
　　如果你的网站有上传页面，就要警惕直接上传ASP文件漏洞。例如当年流行的动网5.0/6.0论坛，就有个upfile.eSD上传页面，该页面对上传文件扩展名过滤不严，导致用户能直接上传AsP文件，因此黑客只要打开uofife.asp页面，直接上传ASP木马即可拿到Webshell、拥有网站的管理员控制权。
　　除了动网5.0/6.0的upfile.asp漏洞，目前已发现的上传漏洞，还有动感购物商城、动力上传漏洞、乔客上传漏洞等，只要你运行明小子Domain3.5，点击“综合上传”，即可看到这些著名的上传漏洞。
　　你想入侵此类漏洞网站吗?其实很容易的!只要你运行明小子，在“综合上传”中选择一个漏洞，然后提交欲入侵站的上传页面网址，点击“上传”，明小子就会把自带的diy.asp小马上传到服务器中，单击“WebShell地址：”右边的“打开”按钮，diy.asp术马两页就会显示出来，接下来提交大木马代码，即可拿到WebShell、随意篡改网页了!如果上传网页的漏洞不是以上四种，就需要自己定义上传漏洞了，请在明小子中点击“综合上传”，自己定义，然后在“提交地址”中填入上传页面网址，填写路径字段和文件字段(这2个字段名可在上传页面Form代码中查到)，填写用WsockExpert抓取的Cookies信息，点“上传”即可上传木马。
　　像明小子这样的上传漏洞利用工具如今还有很多，例如上传漏洞程序4in1、动易2005上传漏洞利用工具、雷池新闻系统上传漏洞利用工具、MSSQL上传漏洞利用工具等等，使用此类工具，只需填写上传页面网址和Cookies，即可成功入侵网站。
　　防范方法：为了防范此类漏洞，建议你采用最新版(例如动网7.1以上版本)程序来建站，因为最新版程序一般都没有直接上传漏洞，当然删除有漏洞的上传页面，将会最安全，这样黑客再也不可能利用上传漏洞入侵了!
　　
　　图片小马上传漏洞
　　
　　有的网站(例如动网7.1SP1博客功能)，其后台管理中可以恢复/备份数据库，建议你去掉它们，否则会被黑客用来进行图片小马入侵。
　　黑客利用图片小马入侵过程如下：首先将本地小马扩展名改为.gif，然后打开上传页面，上传这个小马；再通过注入法拿到后台管理员帐号密码，溜进网站后台管理中，使用备份数据库功能将gif、马备份成asp小马，即在“备份数据库路径(相对)”输入刚才图片上传后得到的路径，在“目标数据库路径”输入木马文件名：现在你打开IE，输入刚才恢复数据库的ASP路径，小马就能运行了，以后填入大马代码上传，运行大马即可拿到WebShell。
　　防范方法：删除后台管理中的恢复，备份数据库功能。
　　
　　添加上传类型漏洞
　　
　　如今大多数论坛后台中都允许添加上传类型，这也是个不小的漏洞!只要你用注入法拿到后台管理员帐号密码，然后进入后台添加上传类型，在上传页面中就能直接上传木马!例如LeadBBS3.14后台也允许在上传类型中增加ASP类型，不过添加时ASP后面必须有个空格，然后你在前台即可上传ASP木马(在木马文件扩展名asp后面也要加个空格)。
　　防范方法：删除后台管理中的添加上传类型功能。