Tôi lấy ví dụ theo trang chủ của FCK, bạn có thể download mã nguồn về và thử, đổi đường dẫn tương ứng
http://www.fckeditor.net/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/php/connector.php
http://www.fckeditor.net/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp
http://www.fckeditor.net/fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/aspx/connector.aspx
http://www.fckeditor.net/FCKeditor/editor/filemanager/browser/default/connectors/test.html
qua đường link này ta có thể tạo thư mục, upload file tùy theo cấu hình trong file config mà có thể upload được nhiều loại file khác nhau.
2. HTMLeditor
http://abc.com/htmlarea/popups/insert_image.html
Với link này ta cũng có thể upload được nhiều loại file lên server
3. FreeTextBox
link file cho phép upload : ftb.imagegallery.aspx
4.Innova Editor
Link file cho phép upload : assetmanager.asp
Tất cả các lỗi trên là do các nguyên nhân sau:
- Khi download các code trên về thì dùng luôn, nên các lỗ hổng bảo mật đó vẫn còn.
- Do các LTV không có kinh nghiệm về bảo mật nên không để ý tới các lỗi đó.
- Cấu hình server không tốt nên upload file ảnh cũng chạy được shell.
Do đó, khi bạn tải các mã nguồn đó về dùng thì nên làm các bước sau:
- Dùng các công cụ tìm kiếm và search với từ khóa tên mã nguồn đó xem bản đó có lỗi gì không, nếu có cần đọc và tìm cách xử lý;
- Tự mình rà soát những chức năng upload xem đã cấu hình đúng chưa, xóa các file không cần thiết;
- Phân quyền đối với các phần upload, chỉ nên cho thành viên và quản trị được phép upload các file ảnh, file .doc. Tránh để người sử dụng bất kỳ có thể upload được qua một link của trang web.
Và cuối cùng, nếu có thể thì bạn hãy viết code riêng, như thế bạn có thể kiểm soát được những gì bạn viết. Khi có lỗi cũng sẽ xử lý dễ dàng hơn.
No comments:
Post a Comment