大全总结:修复eWebEditor漏洞需求注意以下几个方面[网络技术]
本文“大全总结:修复eWebEditor漏洞需求注意以下几个方面[网络技术]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
第一步:下载eWebEditor2.8 改正版
下载地址http://ewebeditor.webasp.net/download.asp
解压放到项目文件目录下. 为了便利利用我把文件改名为ewebeditor
第二步:改正相关调用到编辑器的ASP文件
<****** ID="Editor" src="ewebeditor/ewebeditor.asp?Id=NewsContent&style=s_newssystem" frameborder="0" scrolling="no" width="100%" HEIGHT="100%"></******>
第三步:改正eWebEditor编辑器
1,使之支持插入分页符
翻开eWebEditor/db/ewebeditor.mdb =>
翻开eWebEditor_Button表=>
在倒数的21行
B_Title 字段的值为”显示或躲藏指导方针”改正成”插入系统分页符”
B_Event 字段的值为” showBorders()”改正成” insert('SplitPage')”
翻开 WebEditor/Include/Editor.js
在777行之前插入
case "SplitPage": // 插入分页符
insertHTML("<HR sysPageSplitFlag>");
break;
2,改正编辑器上传文件的保存途径
翻开eWebEditor_Style表
找到你利用的款式所在的行,我用的是s_newssystem 改正 S_UploadDir 字段的值
我是改成/UpLoadFiles/
这样我用编辑器上传的图片等城市在根目录的UpLoadFiles文件夹下.
第四步:编辑器的安全性
1、应及时改正该编辑器的默许数据库途径(db)和数据库名称(ewebeditor.mdb),并在Include/Startup.asp中更改衔接语句,避免数据库被黑客不法下载,更改EWebEditor文件夹名称为不简单猜想到的!
2、删除目录下全部以Admin开首的.asp文件,避免黑客进入后台管理界面
3、改正款式表中的文件上传途径,保护编辑器途径不被直接看到,大概翻开数据库中的表eWebEditor_Style,改正S_UploadDir内容.比方"/UploadFile/"表示全部文件上传到网站根目录下的UploadFile目录内,这样让一些人通过查看图片地址不能直接看到编辑器的地址!
4、对Upload.asp语句举行改正,避免黑客操纵其上传ASP木马从而得到WEB权限
在Upload.asp文件里面,找到这句话sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
把这句话替换为
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
sAllowExt = Replace(sAllowExt, "ASP", "")
sAllowExt = Replace(sAllowExt, "CER", "")
sAllowExt = Replace(sAllowExt, "ASA", "")
sAllowExt = Replace(sAllowExt, "CDX", "")
sAllowExt = Replace(sAllowExt, "HTR", "")
sAllowExt = Replace(sAllowExt, "CGI", "")
sAllowExt = Replace(sAllowExt, "ASPX", "")'
sAllowExt = Replace(sAllowExt, "ASP .JPG", "")
sAllowExt = Replace(sAllowExt, "CER .JPG", "")
sAllowExt = Replace(sAllowExt, "ASA .JPG", "")
sAllowExt = Replace(sAllowExt, "CDX .JPG", "")
sAllowExt = Replace(sAllowExt, "HTR .JPG", "")
sAllowExt = Replace(sAllowExt, "CGI .JPG", "")
sAllowExt = Replace(sAllowExt, "ASPX .JPG", "")
Loop
5、及时对网站服务器IIS配置中的利用程序扩大名映射举行整理,确保别的范例的文件不能在服务器网站上运行
EWebEditor漏洞改良办法:
1.在EWebEditor中加入IP掌握
<%
''成立衔接
dim conn,connstr
connstr="driver={sql server};server=.;uid=yst06;pwd=yst06;database=yst06"
set conn=Server.Createobject("ADODB.Connection")
conn.open connstr
''***************************************************
''功效:实现字符长度的掌握
''参数:cutstr
''***************************************************
function cutstr(tempstr,tempwid)
if len(tempstr)>tempwid then
cutstr=left(tempstr,tempwid)&"..."
else
cutstr=tempstr
end if
end function
userip = Request.ServerVariables("HTTP_X_FORWARDED_FOR")
以上是“大全总结:修复eWebEditor漏洞需求注意以下几个方面[网络技术]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |