html编辑器fckeditor创建文件夹文件漏洞修补

  thml编辑器fckeditor是目前最好用的开源编辑器，开源的好处是可以修改代码（后台登陆安全验证代码）来提高安全性。 

    然在fckeditor的2.6版本之上在文件中就集成了安全验证的内容。在fckeditor目录下editor\\filemanager\\connectors\\aspx\\config.ascx。config.ascx文件中CheckAuthentication方法。在默认情况下返回的是true。通过修改返回修改为return ( Session[ \"IsAuthorized\" ] != null && (bool)Session[ \"IsAuthorized\" ] == true );再把网站后台登陆通过后赋值给Session[ \"IsAuthorized\" ]=true。这样就可以增加了fckeditor的上传验证。

 

    之前我司的网站没有修改上面的“方法”导致可以通过代码直接上传，代码如下：

域名/Fckeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=CreateFolder&Type=file&CurrentFolder=%2Fasp.asp&NewFolderName=xxx  将上面代码复制到地址栏执行结果如下图 

危险的吧! 虽然是2013年,现在大家的服务器操作系统 估计都是win2008或者以上,iis应该不允许创建类似.asp的目录名称或者执行程序! 但是这个思路大家可以借鉴