FCKeditor.Net_2.2安全修正版

癫癫子丶

癫癫子丶

2016-02-19 11:15

有了下面这个FCKeditor.Net_2.2安全修正版教程,不懂FCKeditor.Net_2.2安全修正版的也能装懂了,赶紧get起来装逼一下吧!

FCKeditor为一开源多功能在线Web编辑器。官方网站:http://www.fckeditor.net/。
相关安全文件参看:
《在.net中使用Fckeditor》 http://cliffever.cnblogs.com/archive/2006/05/09/395134.aspx
《FCKeditor 實戰技巧》http://www.jb51.net/html/200609/1206.htm
《asp.net下FCKeditor的安全问题》http://www.lvjiyong.com/item/fckeditor-safe


=======================
FCKeditor 安全问题(只指.Net_2.2版)

上传文件格式验证不严格(只客户端验证)。
FCKeditor目录没有设验证权限。
多余上传文件漏洞。


解决方法:
    可以查看修改过的FCKeditor.Net_2.2。
    站点下的FCKeditor目录进行安全设置,只允许制定用户角色的用户访问。
    将站点下不使用的多余上传文件删除。参看实例testFCKeditor。

FCKeditor.Net_2.2修改部分:
    1、FileWorkerBase.cs 添加上传文件扩展名验证函数与属性部分。
        使用方法跟设置UserFilesPath类似。
            Application["FCKeditor:UploadDeniedExtensions"]
            Session["FCKeditor:UploadDeniedExtensions"]
            System.Configuration.ConfigurationSettings.AppSettings["FCKeditor:UploadDeniedExtensions"]
        可以参看实例testFCKeditor。
        UserFilesPath属性配置部分"FCKeditor:UserFilesPath"可以设置成"虚拟站点目录"(类似与修改后的BasePath设置)。
    2、Uploader.cs
    3、FileBrowserConnector.cs
        以上两文件增加对上传文件类型的验证。
    4、FCKeditor.cs 文件BasePath属性默认为"~/FCKeditor/" 。

注:
    FredCK.FCKeditorV2.dll配件为DotNet 2.0配件。
    本修改部分在ASP.NET 2.0下调试通过。

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/webkaifa/)

 下载此文件

(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/webkaifa/)
展开更多 50%)
分享

猜你喜欢

FCKeditor.Net_2.2安全修正版

Web开发
FCKeditor.Net_2.2安全修正版

《巫师》格斗系统初解 修正版

电脑网络
《巫师》格斗系统初解 修正版

s8lol主宰符文怎么配

英雄联盟 网络游戏
s8lol主宰符文怎么配

JDOM操作XML文件(法老修正版)

Web开发
JDOM操作XML文件(法老修正版)

jquery.AutoComplete.js中文修正版(支持firefox)

Web开发
jquery.AutoComplete.js中文修正版(支持firefox)

lol偷钱流符文搭配推荐

英雄联盟 网络游戏
lol偷钱流符文搭配推荐

用PHP实现小型站点广告管理(修正版)

PHP
用PHP实现小型站点广告管理(修正版)

BCB中用Sender参数实现代码重用(修正版)

编程语言 网络编程
BCB中用Sender参数实现代码重用(修正版)

lolAD刺客新符文搭配推荐

英雄联盟
lolAD刺客新符文搭配推荐

Mssql高级注入笔记II

Mssql高级注入笔记II

如何编写一个ASP类

如何编写一个ASP类
下拉加载更多内容 ↓