当前位置:七道奇文章资讯安全技术网络技术
日期:2009-12-18 01:29:00  来源:本站整理

大全总结:修复eWebEditor漏洞需求注意以下几个方面[网络技术]

赞助商链接



  本文“大全总结:修复eWebEditor漏洞需求注意以下几个方面[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

第一步:下载eWebEditor2.8 改正版

下载地址http://ewebeditor.webasp.net/download.asp
解压放到项目文件目录下. 为了便利利用我把文件改名为ewebeditor

第二步:改正相关调用到编辑器的ASP文件

<****** ID="Editor" src="ewebeditor/ewebeditor.asp?Id=NewsContent&style=s_newssystem" frameborder="0" scrolling="no" width="100%" HEIGHT="100%"></******>


第三步:改正eWebEditor编辑器

1,使之支持插入分页符
翻开eWebEditor/db/ewebeditor.mdb =>
翻开eWebEditor_Button表=>
在倒数的21行
B_Title 字段的值为”显示或躲藏指导方针”改正成”插入系统分页符”
B_Event 字段的值为” showBorders()”改正成” insert('SplitPage')”
翻开 WebEditor/Include/Editor.js
在777行之前插入
        case "SplitPage":                        // 插入分页符
                insertHTML("<HR sysPageSplitFlag>");
                break;
2,改正编辑器上传文件的保存途径
翻开eWebEditor_Style表
找到你利用的款式所在的行,我用的是s_newssystem 改正 S_UploadDir 字段的值
我是改成/UpLoadFiles/
这样我用编辑器上传的图片等城市在根目录的UpLoadFiles文件夹下.

第四步:编辑器的安全

  1、应及时改正该编辑器的默许数据库途径(db)和数据库名称(ewebeditor.mdb),并在Include/Startup.asp中更改衔接语句,避免数据库被黑客不法下载,更改EWebEditor文件夹名称为不简单猜想到的!

  2、删除目录下全部以Admin开首的.asp文件,避免黑客进入后台管理界面

  3、改正款式表中的文件上传途径,保护编辑器途径不被直接看到,大概翻开数据库中的表eWebEditor_Style,改正S_UploadDir内容.比方"/UploadFile/"表示全部文件上传到网站根目录下的UploadFile目录内,这样让一些人通过查看图片地址不能直接看到编辑器的地址!

      4、对Upload.asp语句举行改正,避免黑客操纵其上传ASP木马从而得到WEB权限

在Upload.asp文件里面,找到这句话sAllowExt = Replace(UCase(sAllowExt), "ASP", "")

把这句话替换为
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
   sAllowExt = Replace(sAllowExt, "ASP", "")
   sAllowExt = Replace(sAllowExt, "CER", "")
   sAllowExt = Replace(sAllowExt, "ASA", "")
   sAllowExt = Replace(sAllowExt, "CDX", "")
   sAllowExt = Replace(sAllowExt, "HTR", "")
   sAllowExt = Replace(sAllowExt, "CGI", "")
   sAllowExt = Replace(sAllowExt, "ASPX", "")'
   sAllowExt = Replace(sAllowExt, "ASP .JPG", "")
   sAllowExt = Replace(sAllowExt, "CER .JPG", "")
   sAllowExt = Replace(sAllowExt, "ASA .JPG", "")
   sAllowExt = Replace(sAllowExt, "CDX .JPG", "")
   sAllowExt = Replace(sAllowExt, "HTR .JPG", "")
   sAllowExt = Replace(sAllowExt, "CGI .JPG", "")
   sAllowExt = Replace(sAllowExt, "ASPX .JPG", "")  
Loop

  5、及时对网站服务器IIS配置中的利用程序扩大名映射举行整理,确保别的范例的文件不能在服务器网站上运行

EWebEditor漏洞改良办法:

1.在EWebEditor中加入IP掌握
<%
''成立衔接
dim conn,connstr
connstr="driver={sql server};server=.;uid=yst06;pwd=yst06;database=yst06"
set conn=Server.Createobject("ADODB.Connection")
conn.open connstr
''***************************************************
''功效:实现字符长度的掌握
''参数:cutstr
''***************************************************
function cutstr(tempstr,tempwid)
if len(tempstr)>tempwid then
cutstr=left(tempstr,tempwid)&"..."
else
cutstr=tempstr
end if
end function
userip = Request.ServerVariables("HTTP_X_FORWARDED_FOR")

[1] [2]  下一页


  以上是“大全总结:修复eWebEditor漏洞需求注意以下几个方面[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • 大全总结:修复eWebEditor漏洞需求注意以下几个方面
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .