如发现有乱码， 请直接从这里浏览原文
正文摘录:

二.DvBBs7.1文件头欺骗漏洞文件头欺骗漏洞并不仅仅是今天才有的，也并不仅仅是BBSxp才有。大家应该知道DvBBS7.1上传gif木马的时候，会有一个文件头的校验，如果是asp直接改扩展名的jPg文件，在Backup的时候会提示这不是有效的数据库文件。这里也需要用到文件头欺骗来上传我们的图片木马。一般的做法是copy／b1.mdb+1.asp1.jpg，1.mdb是一个空的数据库，1.asp是你的ASP木马。这样生成的1.jPg就具有了mdb数据库文件的文件头属性，从而让动网相信它是一个mdb文件!然后备份或恢复数据就能能得到webshell了。三、DedecMs的Fckeditor文件头欺骗漏洞DedecMs也就是织梦内容管理系统，它用的文本编辑插件是修改版的fckeditor，漏洞出现在inclLide／FCKeditor／editor／dialog／imageuselr.php文件中。部分代码如下：看到了吧，跟BBSxp的漏洞如出一辙!我们找一个网站试试，上传后的结果如图6所示。我们可以看到，文件头欺骗漏洞不论是ASP、PHP程序都有可能存在，事实上有一个办法可以杜绝这种漏洞的出现，那就是把第一条路封死!不仅仅是不允许上传某些文件，而是只允许上传某些文件!(文章中涉及到的工具l~pflleasp、Imageuser.php已经收录在光盘中)强