首页 新闻 会员 周边 捐助

FCK漏洞。网上查一大堆。到底怎么处理才是正确的?

0
悬赏园豆:20 [已解决问题] 解决于 2010-04-27 10:27

网站这两天被攻击了。是FCK上传的漏洞。网上查了一些资料,都说把filemanager文件删掉,删掉了的话,上传就不能用了。也有的说过滤下扩展名……不知道哪种方法好啊。fck这个编辑器到底好不好啊。

问题1:fck漏洞,有什么正确的方法处理。

问题2:大家都在用哪款编辑器。

Jaryleely的主页 Jaryleely | 菜鸟二级 | 园豆:367
提问于:2010-04-26 16:15
< >
分享
最佳答案
0

我一直使用的是FCK,如果安全做到位,漏洞是可以避免的。你可以把它自带的上传功能给删除了,自己添加一个。

例:删除它的上传功能,只允许填写远程图片,然后自己添加一个插入按钮,上传成功自动添加到FCK中。因为上传功能是自己开发,这样方便分离图片(文件)服务器与WEB服务器。

收获园豆:10
Astar | 高人七级 |园豆:40805 | 2010-04-26 16:40
感谢回答
Jaryleely | 园豆:367 (菜鸟二级) | 2010-04-27 10:27
其他回答(1)
0

除了Astar说的之外,建议你可以好好看一下FCKeditor的组织结构和源代码,其实安全性问题是完全可以避免的,主要在\fckeditor\editor\filemanager\connectors\aspx\config.ascx中,通过方法CheckAuthentication()可以控制用户能否上传文件,通过方法SetConfig()可以控制用户上传的文件类型和保存位置等等,这些设置如果做好,是可以避免安全性问题的。

收获园豆:10
上不了岸的鱼 | 园豆:4613 (老鸟四级) | 2010-04-26 23:43
感谢回答!
支持(0) 反对(0) Jaryleely | 园豆:367 (菜鸟二级) | 2010-04-27 10:27
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册