ewebeditor编辑器上传漏洞防范方法
来源:互联网 发布:为知笔记 设置密码 编辑:程序博客网 时间:2024/06/05 18:20
暂时防范方法:
1、直接用Access打开ewebeditor的数据库,把其它编辑器自带的样式全部删除。只留下news和tg两个样式!
2、找到完整的,有后台登录ewebeditor编辑器,用admin为账号密码登录。
分几种情况:
1、如不需要投稿功能,那就把tg样式删掉。
2、如需要投稿功能,但不用HTML编辑器,也把tg样式删掉。
3、如要投稿功能,也需要提供HTML编辑器给网友用,把tg样式的所有能上传的按纽全部去掉。只留下普通编辑按纽,不允许上传。
然后把news样式的名字采用随机命名,别人猜不到就行,不使用news为样式名。然后把admin_news_add.asp文件中<IFRAME ID="eWebEditor1" SRC="edit/ewebeditor.asp?id=content&style=news" FRAMEBORDER="0" SCROLLING="no" WIDTH="100%" HEIGHT="399" marginwidth="1" marginheight="1" name="wfasdg"></IFRAME>
把style=news 改为 style=你的随机命名 就可以了。
如保留tg样式,为什么tg样式不随机命名,而news样式要改名?
1、因为tg样式是在投稿页面中使用的,浏览者都可以打开页面源码看到样式名称,所以改名字没有意义,只有把具有上传功能的按纽全部去掉。
2、news样式是管理员添加新闻用的,所以要保留上传功能,news样式的功能可以不改,虽然具有上传功能,但admin_news_add.asp 文件的源码是要登录后台才能看到的,直接访问会提示登录的,这样就不会通过看源码就得不到你的样式名,而通过该漏洞上传文件了。
删除新闻系统目录下的newstg.asp newstg_save.asp 这两个文件!
- ewebeditor编辑器上传漏洞防范方法
- 关于eWebEditor编辑器漏洞
- 终极防范上传漏洞!
- ewebeditor漏洞解決方法
- web安全之文件上传漏洞攻击与防范方法
- web安全之文件上传漏洞攻击与防范方法
- web安全之文件上传漏洞攻击与防范方法
- web安全之文件上传漏洞攻击与防范方法
- ewebeditor的上传结合IIS解析漏洞
- ASP终极防范上传漏洞
- ASP终极防范上传漏洞
- eWebEditor漏洞
- eWebEditor漏洞
- ewebeditor漏洞
- ewebeditor漏洞,ewebeditor漏洞攻击
- FCKeditor编辑器上传漏洞
- 『原创』ewebeditor 2.1.6 上传漏洞利用工具
- Ewebeditor 2.1.6上传漏洞 UNION运用-直接得SHELL
- HTTP协议介绍(3)
- HP COMPAQ筆記本命名規則
- 如何让Gridview在没有数据的时候显示表头
- 演练VC中的COMMON一族(转贴)之一 选择自 happyparrot 的 Blog
- 关于收货 挂订单库存
- ewebeditor编辑器上传漏洞防范方法
- 行列转换--表
- ASP.NET环境下到底是怎样的顺序呢
- 今天的第一个练习---求两个数的最大公约数
- 函数说明(DrawText) 08.11.5
- 矩阵
- C#里巧用DateTime预设一些可选的日期范围(如本年度、本季度、本月等)
- C++中的运行时类型检查
- GridView 72般绝技