FCKeditor.Net_2.2安全修正版
程序员文章站
2022-06-18 15:42:54
fckeditor为一开源多功能在线web编辑器。官方网站:。相关安全文件参看:《在.net中使用fckeditor》 《fckeditor 實戰技巧》...
fckeditor为一开源多功能在线web编辑器。官方网站:。
相关安全文件参看:
《在.net中使用fckeditor》
《fckeditor 實戰技巧》
《asp.net下fckeditor的安全问题》
=======================
fckeditor 安全问题(只指.net_2.2版)
上传文件格式验证不严格(只客户端验证)。
fckeditor目录没有设验证权限。
多余上传文件漏洞。
解决方法:
可以查看修改过的fckeditor.net_2.2。
站点下的fckeditor目录进行安全设置,只允许制定用户角色的用户访问。
将站点下不使用的多余上传文件删除。参看实例testfckeditor。
fckeditor.net_2.2修改部分:
1、fileworkerbase.cs 添加上传文件扩展名验证函数与属性部分。
使用方法跟设置userfilespath类似。
application["fckeditor:uploaddeniedextensions"]
session["fckeditor:uploaddeniedextensions"]
system.configuration.configurationsettings.appsettings["fckeditor:uploaddeniedextensions"]
可以参看实例testfckeditor。
userfilespath属性配置部分"fckeditor:userfilespath"可以设置成"虚拟站点目录"(类似与修改后的basepath设置)。
2、uploader.cs
3、filebrowserconnector.cs
以上两文件增加对上传文件类型的验证。
4、fckeditor.cs 文件basepath属性默认为"~/fckeditor/" 。
注:
fredck.fckeditorv2.dll配件为dotnet 2.0配件。
本修改部分在asp.net 2.0下调试通过。
下载此文件
相关安全文件参看:
《在.net中使用fckeditor》
《fckeditor 實戰技巧》
《asp.net下fckeditor的安全问题》
=======================
fckeditor 安全问题(只指.net_2.2版)
上传文件格式验证不严格(只客户端验证)。
fckeditor目录没有设验证权限。
多余上传文件漏洞。
解决方法:
可以查看修改过的fckeditor.net_2.2。
站点下的fckeditor目录进行安全设置,只允许制定用户角色的用户访问。
将站点下不使用的多余上传文件删除。参看实例testfckeditor。
fckeditor.net_2.2修改部分:
1、fileworkerbase.cs 添加上传文件扩展名验证函数与属性部分。
使用方法跟设置userfilespath类似。
application["fckeditor:uploaddeniedextensions"]
session["fckeditor:uploaddeniedextensions"]
system.configuration.configurationsettings.appsettings["fckeditor:uploaddeniedextensions"]
可以参看实例testfckeditor。
userfilespath属性配置部分"fckeditor:userfilespath"可以设置成"虚拟站点目录"(类似与修改后的basepath设置)。
2、uploader.cs
3、filebrowserconnector.cs
以上两文件增加对上传文件类型的验证。
4、fckeditor.cs 文件basepath属性默认为"~/fckeditor/" 。
注:
fredck.fckeditorv2.dll配件为dotnet 2.0配件。
本修改部分在asp.net 2.0下调试通过。
下一篇: 那年冬夜