FCKeditor为一开源多功能在线Web编辑器。官方网站:http://www.fckeditor.net/。
相关安全文件参看:
《在.net中使用Fckeditor》 http://cliffever.cnblogs.com/archive/2006/05/09/395134.aspx
《FCKeditor 實戰技巧》https://www.jb51.net/html/200609/1206.htm
《asp.net下FCKeditor的安全问题》http://www.lvjiyong.com/item/fckeditor-safe
=======================
FCKeditor 安全问题(只指.Net_2.2版)
上传文件格式验证不严格(只客户端验证)。
FCKeditor目录没有设验证权限。
多余上传文件漏洞。
解决方法:
可以查看修改过的FCKeditor.Net_2.2。
站点下的FCKeditor目录进行安全设置,只允许制定用户角色的用户访问。
将站点下不使用的多余上传文件删除。参看实例testFCKeditor。
FCKeditor.Net_2.2修改部分:
1、FileWorkerBase.cs 添加上传文件扩展名验证函数与属性部分。
使用方法跟设置UserFilesPath类似。
Application["FCKeditor:UploadDeniedExtensions"]
Session["FCKeditor:UploadDeniedExtensions"]
System.Configuration.ConfigurationSettings.AppSettings["FCKeditor:UploadDeniedExtensions"]
可以参看实例testFCKeditor。
UserFilesPath属性配置部分"FCKeditor:UserFilesPath"可以设置成"虚拟站点目录"(类似与修改后的BasePath设置)。
2、Uploader.cs
3、FileBrowserConnector.cs
以上两文件增加对上传文件类型的验证。
4、FCKeditor.cs 文件BasePath属性默认为"~/FCKeditor/" 。
注:
FredCK.FCKeditorV2.dll配件为DotNet 2.0配件。
本修改部分在ASP.NET 2.0下调试通过。
下载此文件
相关安全文件参看:
《在.net中使用Fckeditor》 http://cliffever.cnblogs.com/archive/2006/05/09/395134.aspx
《FCKeditor 實戰技巧》https://www.jb51.net/html/200609/1206.htm
《asp.net下FCKeditor的安全问题》http://www.lvjiyong.com/item/fckeditor-safe
=======================
FCKeditor 安全问题(只指.Net_2.2版)
上传文件格式验证不严格(只客户端验证)。
FCKeditor目录没有设验证权限。
多余上传文件漏洞。
解决方法:
可以查看修改过的FCKeditor.Net_2.2。
站点下的FCKeditor目录进行安全设置,只允许制定用户角色的用户访问。
将站点下不使用的多余上传文件删除。参看实例testFCKeditor。
FCKeditor.Net_2.2修改部分:
1、FileWorkerBase.cs 添加上传文件扩展名验证函数与属性部分。
使用方法跟设置UserFilesPath类似。
Application["FCKeditor:UploadDeniedExtensions"]
Session["FCKeditor:UploadDeniedExtensions"]
System.Configuration.ConfigurationSettings.AppSettings["FCKeditor:UploadDeniedExtensions"]
可以参看实例testFCKeditor。
UserFilesPath属性配置部分"FCKeditor:UserFilesPath"可以设置成"虚拟站点目录"(类似与修改后的BasePath设置)。
2、Uploader.cs
3、FileBrowserConnector.cs
以上两文件增加对上传文件类型的验证。
4、FCKeditor.cs 文件BasePath属性默认为"~/FCKeditor/" 。
注:
FredCK.FCKeditorV2.dll配件为DotNet 2.0配件。
本修改部分在ASP.NET 2.0下调试通过。
下载此文件
广告合作:本站广告合作请联系QQ:858582 申请时备注:广告合作(否则不回)
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
免责声明:本站资源来自互联网收集,仅供用于学习和交流,请遵循相关法律法规,本站一切资源不代表本站立场,如有侵权、后门、不妥请联系本站删除!
暂无评论...
更新日志
2024年11月29日
2024年11月29日
- 凤飞飞《我们的主题曲》飞跃制作[正版原抓WAV+CUE]
- 刘嘉亮《亮情歌2》[WAV+CUE][1G]
- 红馆40·谭咏麟《歌者恋歌浓情30年演唱会》3CD[低速原抓WAV+CUE][1.8G]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[320K/MP3][193.25MB]
- 【轻音乐】曼托凡尼乐团《精选辑》2CD.1998[FLAC+CUE整轨]
- 邝美云《心中有爱》1989年香港DMIJP版1MTO东芝首版[WAV+CUE]
- 群星《情叹-发烧女声DSD》天籁女声发烧碟[WAV+CUE]
- 刘纬武《睡眠宝宝竖琴童谣 吉卜力工作室 白噪音安抚》[FLAC/分轨][748.03MB]
- 理想混蛋《Origin Sessions》[320K/MP3][37.47MB]
- 公馆青少年《我其实一点都不酷》[320K/MP3][78.78MB]
- 群星《情叹-发烧男声DSD》最值得珍藏的完美男声[WAV+CUE]
- 群星《国韵飘香·贵妃醉酒HQCD黑胶王》2CD[WAV]
- 卫兰《DAUGHTER》【低速原抓WAV+CUE】
- 公馆青少年《我其实一点都不酷》[FLAC/分轨][398.22MB]
- ZWEI《迟暮的花 (Explicit)》[320K/MP3][57.16MB]