我对asp一知半解，只是个入门不到阶级。在此诚肯的请教，希望能给予帮助！
商贸通上传漏洞：
1.利用木马文件（xiaomm.asp空格.jpg），突破服务器端对上传文件名、路径的
判断，巧妙上传ASP、ASA、CGI、CDX、CER、ASPX类型的木马。
2.eWebEditor文件上传漏洞，说是过滤不严

然后加上其它的文件格式进行一并过滤，那会不会出现上面第一个问题？
我上传了一个压缩包（user.rar），里面有两个文件：
1.my_document_Upload.asp

2.Upload.asp
听说，商贸通还有很多漏洞，希望各位大虾能帮忙修改或解说一下，在下不胜感激！
我的信箱：nczsw@163.com   QQ:279934459

属于ASP代码有漏洞 被上传了ASP木马，是一个asp文件，在文件上传目录里找，只要是文件上传目录有asp文件，一定是木马。

找到后删除，然后将ASP后台文件进行全面检查，尤其是upload.asp相关文件要有文件扩展名的验证，只允许上传*.jpg *.gif *.doc *.zip等文件，还有就是后台文件要设置好页面访问权限。

对于一些免费的源码，很多后台使用eWebSoft在线编辑器的一定要将权限验证语句加到相应的asp文件中。

相关文件：
安全问题一定要重视，最重要的是要对网站程序完全了解才可以使用

好象这些我多做到了，可还是被别人把整站的数据给删除了

将上传目录设为不运行asp程序

代码中强制所有后缀为.jpg或者是.gif

有哪位大吓帮帮我挖，我急死了

首先要限制上传文件扩展名只能是gif.JPG等
Private Function CheckFileExt (fileEXT)  
dim Forumupload  
Forumupload="gif,jpg,bmp,jpeg"  
Forumupload=split(Forumupload,",")  
for i=0 to ubound(Forumupload)  
if lcase(fileEXT)=lcase(trim(Forumupload(i))) then  
CheckFileExt=true  
exit Function  
else  
CheckFileExt=false  
end if  
next  
End Function

这样就可以防止ASP文件上传了.
但有些人会将ASP文件如木马改名为图片文件.我们下一步可以对文件内容进行检测,如果发现有特殊字符,就禁止上传.

譬如即将上传的文件是sFile:

set MyFile = server.CreateObject ("Scripting.FileSystemObject")  
set MyText = MyFile.OpenTextFile (sFile, 1) ’ 读取文本文件  
sTextAll = lcase(MyText.ReadAll): MyText.close  
’判断用户文件中的危险操作  
sStr ="8　.getfolder　.createfolder　.deletefolder　.createdirectory　  
.deletedirectory"  
sStr = sStr & "　.saveas　wscript.shell　script.encode"  
sNoString = split(sStr,"　")  
for i = 1 to sNoString(0)  
if instr(sTextAll, sNoString(i)) <> 0 then  
sFile = Upl.Path & sFileSave: fs.DeleteFile sFile  
Response.write "<center><br><big>"& sFileSave &"文件中含有与操作目录等有关的命令"&_  
"<br><font color=red>"& mid(sNoString(i),2) &"</font>，为了安全原因，<b>不能上传。<b>"&_"</big></center></html>"  
Response.end  
end if  
next

感谢楼上朋友。