大全总结:修复eWebEditor漏洞需求注意以下几个方面[网络技术]

第一步:下载eWebEditor2.8 改正版

下载地址http://ewebeditor.webasp.net/download.asp
解压放到项目文件目录下. 为了便利利用我把文件改名为ewebeditor

第二步:改正相关调用到编辑器的ASP文件

<****** ID="Editor" src="ewebeditor/ewebeditor.asp?Id=NewsContent&style=s_newssystem" frameborder="0" scrolling="no" width="100%" HEIGHT="100%"></******>

第三步:改正eWebEditor编辑器

1,使之支持插入分页符
翻开eWebEditor/db/ewebeditor.mdb =>
翻开eWebEditor_Button表=>
在倒数的21行
B_Title 字段的值为”显示或躲藏指导方针”改正成”插入系统分页符”
B_Event 字段的值为” showBorders()”改正成” insert('SplitPage')”
翻开 WebEditor/Include/Editor.js
在777行之前插入
        case "SplitPage":                        // 插入分页符
                insertHTML("<HR sysPageSplitFlag>");
                break;
2,改正编辑器上传文件的保存途径
翻开eWebEditor_Style表
找到你利用的款式所在的行,我用的是s_newssystem 改正 S_UploadDir 字段的值
我是改成/UpLoadFiles/
这样我用编辑器上传的图片等城市在根目录的UpLoadFiles文件夹下.

第四步:编辑器的安全性

　　1、应及时改正该编辑器的默许数据库途径(db)和数据库名称(ewebeditor.mdb),并在Include/Startup.asp中更改衔接语句,避免数据库被黑客不法下载,更改EWebEditor文件夹名称为不简单猜想到的!

　　2、删除目录下全部以Admin开首的.asp文件,避免黑客进入后台管理界面

　　3、改正款式表中的文件上传途径,保护编辑器途径不被直接看到,大概翻开数据库中的表eWebEditor_Style,改正S_UploadDir内容.比方"/UploadFile/"表示全部文件上传到网站根目录下的UploadFile目录内,这样让一些人通过查看图片地址不能直接看到编辑器的地址!

      4、对Upload.asp语句举行改正,避免黑客操纵其上传ASP木马从而得到WEB权限

在Upload.asp文件里面,找到这句话sAllowExt = Replace(UCase(sAllowExt), "ASP", "")

把这句话替换为
Do While InStr(sAllowExt, "ASP") or InStr(sAllowExt, "CER") or InStr(sAllowExt, "ASA") or InStr(sAllowExt, "CDX") or InStr(sAllowExt, "HTR")
   sAllowExt = Replace(sAllowExt, "ASP", "")
   sAllowExt = Replace(sAllowExt, "CER", "")
   sAllowExt = Replace(sAllowExt, "ASA", "")
   sAllowExt = Replace(sAllowExt, "CDX", "")
   sAllowExt = Replace(sAllowExt, "HTR", "")
   sAllowExt = Replace(sAllowExt, "CGI", "")
   sAllowExt = Replace(sAllowExt, "ASPX", "")'
   sAllowExt = Replace(sAllowExt, "ASP .JPG", "")
   sAllowExt = Replace(sAllowExt, "CER .JPG", "")
   sAllowExt = Replace(sAllowExt, "ASA .JPG", "")
   sAllowExt = Replace(sAllowExt, "CDX .JPG", "")
   sAllowExt = Replace(sAllowExt, "HTR .JPG", "")
   sAllowExt = Replace(sAllowExt, "CGI .JPG", "")
   sAllowExt = Replace(sAllowExt, "ASPX .JPG", "")  
Loop

　　5、及时对网站服务器IIS配置中的利用程序扩大名映射举行整理,确保别的范例的文件不能在服务器网站上运行

EWebEditor漏洞改良办法:

1.在EWebEditor中加入IP掌握
<%
''成立衔接
dim conn,connstr
connstr="driver={sql server};server=.;uid=yst06;pwd=yst06;database=yst06"
set conn=Server.Createobject("ADODB.Connection")
conn.open connstr
''***************************************************
''功效:实现字符长度的掌握
''参数:cutstr
''***************************************************
function cutstr(tempstr,tempwid)
if len(tempstr)>tempwid then
cutstr=left(tempstr,tempwid)&"..."
else
cutstr=tempstr
end if
end function
userip = Request.ServerVariables("HTTP_X_FORWARDED_FOR")

[1] [2]  下一页