FCKeditor為一開源多功能在線Web編輯器。官方網站:http://www.fckeditor.net/。
相關安全文件參看:
《在.net中使用Fckeditor》 http://cliffever.cnblogs.com/archive/2006/05/09/395134.aspx
《FCKeditor 實戰技巧》http://www.jb51.net/html/200609/1206.htm
《asp.net下FCKeditor的安全問題》http://www.lvjiyong.com/item/fckeditor-safe
=======================
FCKeditor 安全問題(只指.Net_2.2版)
上傳文件格式驗證不嚴格(只客戶端驗證)。
FCKeditor目錄沒有設驗證權限。
多余上傳文件漏洞。
解決方法:
可以查看修改過的FCKeditor.Net_2.2。
站點下的FCKeditor目錄進行安全設置,只允許制定用戶角色的用戶訪問。
將站點下不使用的多余上傳文件刪除。參看實例testFCKeditor。
FCKeditor.Net_2.2修改部分:
1、FileWorkerBase.cs 添加上傳文件擴展名驗證函數與屬性部分。
使用方法跟設置UserFilesPath類似。
Application["FCKeditor:UploadDeniedExtensions"]
Session["FCKeditor:UploadDeniedExtensions"]
System.Configuration.ConfigurationSettings.AppSettings["FCKeditor:UploadDeniedExtensions"]
可以參看實例testFCKeditor。
UserFilesPath屬性配置部分"FCKeditor:UserFilesPath"可以設置成"虛擬站點目錄"(類似與修改後的BasePath設置)。
2、Uploader.cs
3、FileBrowserConnector.cs
以上兩文件增加對上傳文件類型的驗證。
4、FCKeditor.cs 文件BasePath屬性默認為"~/FCKeditor/" 。
注:
FredCK.FCKeditorV2.dll配件為DotNet 2.0配件。
本修改部分在ASP.NET 2.0下調試通過。
下載此文件
