FCKeditor为一开源多功能在线Web编辑器。官方网站:http://www.fckeditor.net/。
相关安全文件参看:
《在.net中使用Fckeditor》 http://cliffever.cnblogs.com/archive/2006/05/09/395134.aspx
《FCKeditor 實戰技巧》https://www.jb51.net/html/200609/1206.htm
《asp.net下FCKeditor的安全问题》http://www.lvjiyong.com/item/fckeditor-safe


=======================
FCKeditor 安全问题(只指.Net_2.2版)

上传文件格式验证不严格(只客户端验证)。
FCKeditor目录没有设验证权限。
多余上传文件漏洞。


解决方法:
    可以查看修改过的FCKeditor.Net_2.2。
    站点下的FCKeditor目录进行安全设置,只允许制定用户角色的用户访问。
    将站点下不使用的多余上传文件删除。参看实例testFCKeditor。

FCKeditor.Net_2.2修改部分:
    1、FileWorkerBase.cs 添加上传文件扩展名验证函数与属性部分。
        使用方法跟设置UserFilesPath类似。
            Application["FCKeditor:UploadDeniedExtensions"]
            Session["FCKeditor:UploadDeniedExtensions"]
            System.Configuration.ConfigurationSettings.AppSettings["FCKeditor:UploadDeniedExtensions"]
        可以参看实例testFCKeditor。
        UserFilesPath属性配置部分"FCKeditor:UserFilesPath"可以设置成"虚拟站点目录"(类似与修改后的BasePath设置)。
    2、Uploader.cs
    3、FileBrowserConnector.cs
        以上两文件增加对上传文件类型的验证。
    4、FCKeditor.cs 文件BasePath属性默认为"~/FCKeditor/" 。

注:
    FredCK.FCKeditorV2.dll配件为DotNet 2.0配件。
    本修改部分在ASP.NET 2.0下调试通过。
FCKeditor.Net_2.2安全修正版 下载此文件
标签:
FCKeditor.Net_2.2安全修正版

免责声明:本站文章均来自网站采集或用户投稿,网站不提供任何软件下载或自行开发的软件! 如有用户或公司发现本站内容信息存在侵权行为,请邮件告知! 858582#qq.com
狼山资源网 Copyright www.pvsay.com

评论“FCKeditor.Net_2.2安全修正版”

暂无“FCKeditor.Net_2.2安全修正版”评论...