Z-BLOG的FCKEditor可能有漏洞

  听别人说Z-BLOG的FCKEditor按照默认的配置可能有漏洞,我就赶快去我的BLOG看了看FCKEditor的代码,结果惊出一身冷汗。

  我的FCKEditor下载的比较早,里面的配置果然有问题,再看看filemanager目录下的代码,简直和一个标准的ASP木马没有区别,上传居然没有权限控制,类似动网ASP的上传漏洞在这里也有,那真是毁灭性的灾难啊。

  去掉此漏洞的方法是:删除FCKeditor目录下所有以“_”开头的目录,删除“FCKeditor/editor/filemanager”目录和其全部子目录,虽然上传的功能没有了,但我觉得安全性应该是第一位的。FCKeditor的上传既然不安全,那就必须删除其代码。

时间: 2024-08-22 14:45:52

Z-BLOG的FCKEditor可能有漏洞的相关文章

FCKEditor曝高危漏洞 360首发临时解决方案

中介交易 SEO诊断 淘宝客 云主机 技术大厅 近日,国外漏洞平台exploit-db曝光FCKEditor 最新版(2.6.8 Asp版)存在任意文件上传高危漏洞 近日,国外漏洞平台exploit-db曝光FCKEditor 最新版(2.6.8 Asp版)存在任意文件上传高危漏洞(漏洞详情:http://www.exploit-db.com/exploits/23005/ ),黑客借助该漏洞能够直接上传木马.后门程序并控制服务器,最终造成网站数据被窃等严重后果.360网站安全检测发现,国内大量

常用网页编辑器漏洞手册(全面版)fckeditor,ewebeditor_网页编辑器

FCKeditor FCKeditor编辑器页/查看编辑器版本/查看文件上传路径 FCKeditor编辑器页 FCKeditor/_samples/default.html 查看编辑器版本 FCKeditor/_whatsnew.html 查看文件上传路径 fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&Curren

禁止JVM执行外部命令Runtime.exec -- 由Apache Commons Collections漏洞引发的思考

update: 2015-11-16 新版apache commons collections 3.2.2修复漏洞 新版本的apache commons collections默认禁止了不安全的一些转换类.可以通过升级来修复漏洞.参考release说明:https://commons.apache.org/proper/commons-collections/release_3_2_2.html Dubbo rpc远程代码执行的例子 update: 2015-11-13 重新思考了下这个漏洞,给

探讨fckeditor在Php中的配置详解_php技巧

前言: FCKeidtor是个国外的多语言编辑器,你可以对其配置文件进行简单修改使之支持目前常用Web开发语言的应用,下面我就讲讲FCKeditor的最新版本2.4.2在php的具体配置过程,有不足和出错的地方,欢迎指正. 精简: 正因为这个编辑器是支持多语言的,所以首先我们针对使用对其做相应的冗余文件删除. 1.临时文件及文件夹删除:从根目录下开始删除一切以"_"开头的文件及文件夹,因为他们为临时文件和文件夹.删除这类临时文件及文件夹之后,我们还要删除一些根目录下的多余文件,根目录下

浅析PHP程序中的目录遍历漏洞

目录遍历漏洞在国内外有许多不同的叫法,比如也可以叫做信息泄露漏洞,非授权文件包含漏洞.名称虽然多,可他们却有一个共同的成因,就是在程序中没有过滤用户输入的../和./之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件,其危害可想而知.这类漏洞大家比较熟悉的可能就是在一些邮件列表程序以及网络硬盘程序中,其实这类漏洞还广泛存在与一些国外的BLOG程序中,这类漏洞大概分两种下面就来通过实例来说明这类漏洞是如何产生以及该如何防范. 首先,我们来看一个国外的BLOG,前几天从网上下

又一个不错的FCKeditor 2.2的安装、修改和调用方法_网页编辑器

忽然发现自己 Blog 的 FCKeditor 无法使用,好惊讶!居然看好的 PJBlog 也会有不行的时候.马上到网上查找,把一些主要的东西 Copy 了下来.以下是主要内容FCKeditor的官方网站:www.fckeditor.com 和其他脚本类的程序一样,FCKeditor 的安装其实就是源代码的拷贝. 我们按照官方的方法,在网站根目录下建立 FCKeditor 这样一个文件夹, 然后把下载下来的文件包释放到该文件夹中. 只对一般的使用(ASP环境)进行配置和源文件的精简. 1.默认语

搭建合理优化网站结构 辅助网站获得搜索引擎亲睐

不管是什么类型的站点都讲究网站的结构匀称,良好的网站结构与框架能够帮助网站获得搜索引擎的亲睐,以前在建站中我使用的都是Z-BLOG博客系统,我感觉这种成熟的系统就能够让网站少走弯路,往往网站一上线就能够被百度收录,下面我来谈谈如何搭建合理的SEO优化网站结构. 第一.选择优质成熟的站点程序 搭建一个良好的SEO优化网站结构必须要拥有优质成熟的网站程序,不管是站长你自己请人开发程序还是自己使用免费或者付费的网上程序,在选择程序的时候一定要注重程序的质量,这是保证网站优化结构的第一步,下面我来分享一

网站改版注意哪些细节问题

尤其是博客优化这一块,其实三两天可以搞定的事情;不换吧,这样不解决终究是个问题.更换程序势必会对网站的排名.网站的收录造成影响.颐达胶囊网站SEOER分析如下: 影响大小取决于原网站的架构是否合理.排名是否靠前.收录是否正常.经过对比得出: 1.新改版网站程序比zhttp://www.aliyun.com/zixun/aggregation/9435.html">blog程序架构更利于优化 2.之前博客的排名一直趋于一般,排名即使有所下降也关系不大 3.网站的收录还算正常,新改版网站稳定之

泡馆:关于做产品站的一些经验

还记得第一次做网站的事情,09年时,我建立了人生第一个网站,用zhttp://www.aliyun.com/zixun/aggregation/9435.html">blog搭建的一个博客,那时的我根本不懂什么是FTP,也不懂如何上传程序,折腾了一个月的时间还是整不明白,后来自己摸索了很长时间,终于搭建了自己的博客,当时的心情别提有多兴奋了.在之后的几年时间里,我做过图片站,做过论坛和门户站点,都没有坚持下来,最后选择了做产品,才慢慢有所起色,我起初想的是做一个品牌站,但由于个人站长的能力