eWebEditor oday的特点和修补方法
分下列步骤进行: 第一步:下载eWebEditor2.8 修正版 下载地址http://ewebeditor.webasp.net/download.asp 解压放到项目文件目录下. 为了方便使用我把文件改名为ewebeditor 第二步:修改相关调用到编辑器的ASP文件 <****** ID="Editor" src="ewebeditor/ewebeditor.asp?Id=NewsContent&style=s_newssystem" frameborder="0" scrolling="no" width="100%" HEIGHT="100%"></******> 第三步:修改eWebEditor编辑器 1,使之支持插入分页符 打开eWebEditor/db/ewebeditor.mdb => 打开eWebEditor_Button表=> 在倒数的21行 B_Title 字段的值为”显示或隐藏指导方针”修改为”插入系统分页符” B_Event 字段的值为” showBorders()”修改为” insert('SplitPage')” 打开 WebEditor/Include/Editor.js 在777行之前插入 case "SplitPage": // 插入分页符 insertHTML("<HR sysPageSplitFlag>"); break; 2,修改编辑器上传文件的保存路径 打开eWebEditor_Style表 找到你使用的样式所在的行,我用的是s_newssystem 修改 S_UploadDir 字段的值 我是改成/UpLoadFiles/ 这样我用编辑器上传的图片等都会在根目录的UpLoadFiles文件夹下. 第四步:编辑器的安全性 1、应及时修改该编辑器的默认数据库路径(db)和数据库名称(ewebeditor.mdb),并在Include/Startup.asp中更改连接语句,防止数据库被黑客非法下载,更改EWebEditor文件夹名称为不容易猜测到的! 2、删除目录下所有以Admin开头的.asp文件,防止黑客进入后台管理界面 3、修改样式表中的文件上传路径,保护编辑器路径不被直接看到,或者打开数据库中的表eWebEditor_Style,修改S_UploadDir内容.比如"/UploadFile/"表示所有文件上传到网站根目录下的UploadFile目录内,这样让一些人通过查看图片地址不能直接看到编辑器的地址! 4、对Upload.asp语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限 在Upload.asp文件里面,找到这句话sAllowExt = Replace(UCase(sAllowExt), "ASP", "") 把这句话替换为 Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR") 5、及时对网站服务器IIS配置中的应用程序扩展名映射进行整理,确保其它类型的文件不能在服务器网站上运行 EWebEditor漏洞改进方法: 1.在EWebEditor中加入IP控制
2.更改EWebEditor文件夹名称 3.修改EWebEditor管理后台(用户名/密码/允许文件上传类型) 4.修改EWebEditor中文件过滤类型asp,cer,cdx,htr,stm,asa(Upload.asp)'' 任何情况下都不允许上传asp,CER,ASA,CDX,HTR,stm脚本文件sAllowExt = Replace(Replace(Replace(Replace(Replace(Replace(UCase(sAllowExt), "ASP", "**"), "CER", "**"), "ASA", "**"), "CDX", "**"), "HTR", "**"),"stm","**")(这个不建议,还是用上面其它人写的过滤代码吧) 5.修改EWebEditor的数据库路径,并在Include/Startup.asp中更改连接语句.
|
|
最新文章 |
图片主题 | ||||
|
||||
热门文章 |
推荐文章 | ||||
|
||||
相关文章 |
便民服务 | ||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||