给那些被骇客通过编辑器的上传漏洞挂马和存在上传漏洞的程序员们.
如果你的网站使用了FckEditor编辑器还没有进行正确的配置是很容易被别?a href='http://www.baoluowanxiang.com'>送ü洗玫絯ebshell,下面我就分享一下我在用Fckeditro时一点技巧.
环境:vs2005
首先在vs中配置Fckeditor编辑器。
关于Fckeditor下载后的文件请参考:
彻底禁用fckEditor的上传功能(含防止Type漏洞问题)
在Fckeditor 2.6.3前的版本中 在 fckeditor"editor"filemanager"connectors"aspx"config.ascx 文件中的上传验证没有安全的验证就直接可上传,在后续的版本中修改这个地方,必须得用手动设置
private bool CheckAuthentication()
{
// WARNING : DO NOT simply return "true". By doing so, you are allowing
// "anyone" to upload and list the files in your server. You must implement
// some kind of session validation here. Even something very simple as...
//
// return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
//
// ... where Session[ "IsAuthorized" ] is set to "true" as soon as the
// user logs in your system.
return false; <-- true
}
复制代码
返回值为true.
但是这样是不安全的。
参考 彻底禁用fckEditor的上传功能(含防止Type漏洞问题)
fckeditor 可以从地址栏直接输入漏洞地址还可上传文件。
解决方法很简单就是在用户登录时加入是否可上传文件的Session标志。其实Fckeditor已经写好了。直接把验证函数CheckAuthentication()中的注释段中
return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
注释去掉。在登录成功加入Session[“IsAuthorized”] = true;就可以了。
如果网站没有用到上传到服务器的文件浏览的话把fckeditor"editor"filemanager 中的browser 目录也删除。
本文转自 ☆★ 包罗万象网 ★☆ - http://www.baoluowanxiang.com 转载请注明出处,侵权必究!
原文链接:http://www.baoluowanxiang.com/a/net-offense/attack/2010/1129/2316.html
分享到:
相关推荐
实际上,需要对FCKeditor编辑器文件组中的通用配置文件/fckconfig.js和ASP.NET专用文件上传管理代码文件/editor/filemanager/connectors/aspx/config.ascx进行配置。 1. 配置控件语言 FCKeditor是自动探测浏览器...
实际上,需要对FCKeditor编辑器文件组中的通用配置文件/fckconfig.js和ASP.NET专用文件上传管理代码文件/editor/filemanager/connectors/aspx/config.ascx进行配置。 1. 配置控件语言 FCKeditor是自动探测浏览器所...
FCKeditor 网页文本编辑器ASP.NET FCKeditor是一个功能强大支持所见即所得功能的文本编辑器,可以为用户提供微软office软件一样的在线文档编辑服务。它不需要安装任何形式的客户端,兼容绝大多数主流浏览器,支持ASP...
有两个方法在页面中建立一个FCKEDITOR编辑器: 方法1:内联方式(建议使用):在页面的FORM标记内需要插入编辑器的地方置入以下代码: script type="text/javascript"> var oFCKeditor = new FCKeditor( 'FCKeditor1' ) ;...
如果你的编辑器用在网站前台的话,那就不得不考虑安全了,在前台千万不要使用Default的toolbar,要么自定义一下功能,要么就用系统已经定义好的Basic,也就是基本的toolbar, 修改 FCKConfig.ToolbarSets["Basic"]...
该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationMode="2.0"。示例: 。设置此...
FCKeditor是使用非常广泛的HTML编辑器,本文从 ASP.NET 的使用场景对 FCKeditor 与 FCKeditor.NET 的配置、功能扩展(如自定义文件上传子目录、自定义文件名、上传图片的后期处理等)、以及安全性进行初步的阐述。
编辑器 FCKeditor2.4 使用说明 .下载 FCKeditor2.3 (FCKeditot for java) FCKeditor2.4 (FCKeditor基本文件) 以下是下载地址: http://www.fckeditor.net/download/default.html 2.建立项目: 建立项目tomcat...
4.后台内容编辑器采用Fckeditor编辑器,并且加入内容附件上传功能。 5.多风格配置设置,网站预置风格可选择设置。 6.网站后台加入IP归属地查询、网站搜索引擎收录查询等小工具。 7.系统整体优化,对全站系统进行...
4.后台内容编辑器采用Fckeditor编辑器,并且加入内容附件上传功能。 5.多风格配置设置,网站预置风格可选择设置。 6.网站后台加入IP归属地查询、网站搜索引擎收录查询等小工具。 7.系统整体优化,对全站系统进行...
4.后台内容编辑器采用Fckeditor编辑器,并且加入内容附件上传功能。 5.多风格配置设置,网站预置风格可选择设置。 6.网站后台加入IP归属地查询、网站搜索引擎收录查询等小工具。 7.系统整体优化,对全站系统进行...
【优化】留言本进行优化,使用fckeditor编辑器编写留言内容 2010/11/2 --------------------------------------------------------- 【优化】优化网站后台登入安全性 2010/11/6 ------------------------------...
2011.05.19 Fckeditor编辑器在上传浏览服务器列表中增加图片预览功能 2011.05.18 数据备份页面中添加说明和注意事项;班级表增加Rip字段(来限制不同网段机房的班级密码查询) ---2011.05.18 数据库表更新******...
10.后台使用所见即所得的编辑器ckeditor,轻松编辑文字、图片。 11.后台信息支持批量删除、批量排序等功能。 12.内置完整的在线交流后台管理功能、可添加QQ、MSN、淘宝旺旺、第三方客服交流软件等,并可以设置显示...
6.4.2 FCKEditor在线编辑器 76 6.5 小结 79 第7章 在线支付模块 80 7.1 在线支付介绍 80 7.1.1 在线支付的安全保障 80 7.1.2 在线支付的优点 80 7.2 在线支付的流程 81 7.3 使用支付宝实现在线支付 ...
32.1.3 应用FCKEditor在线文本编辑器 694 32.2 在线获取客户端网卡(MAC)地址 698 32.2.1 网卡(MAC)地址简介 698 32.2.2 为什么使用网卡(MAC)地址 698 32.2.3 获取网卡(MAC)地址关键技术 698 ...
31:PHP在线编辑器fckeditor应用 32:PHP5中Cookie与 Session详解 33:PHP5中图片验证码的制作(上) 34:PHP5中图片中文验证码(下) 35:PHP5文字图片混合水印与缩略图 36:PHP中正则表达式学习及应用(一) 37:...
修改编辑器为:FCKeditor2.6.3版本 2.摘要使用编辑器功能,避免标签被破坏 3.修正一些其它小BUG V1.0 Beta1 20081010更新 1.添加后台栏目分权限分用户管理,分别有三个角色(超级管理员,普通管理员,普通用户) 2....
PHP100视频教程31:PHP在线编辑器fckeditor应用 PHP100视频教程32:PHP5中Cookie与 Session详解 PHP100视频教程33:PHP5中图片验证码的制作(上) PHP100视频教程34:PHP5中图片中文验证码(下) PHP100视频教程...