fckeditor一小招防木馬,現在很多網站都使用fckeditor編輯器。它雖然限制了上傳.ASP文件,但黑客只要把比如a.asp改成a.asp;jpg,就是加上一個分號再加上一個jpg,這樣偽造的木馬也是能執行的。
下面介紹的一個方法,可以防止此類木馬的上傳,做法如下:
fckeditor這個編輯器里有一個文件commands.asp,一般路徑是/fckeditor/editor/filemanager/connectors/asp/commands.asp。在這個文件里找到FileUpload這個過程,在151行這個位置把原來的 If oUploader.ErrNum > 0 Then sErrorNumber = "202" 改成 If oUploader.ErrNum > 0 or instr(oUploader.File( "NewFile" ).Name,".asp")>0 Then sErrorNumber = "202"。這樣只要jpg等文件名里含有.asp的都會報錯,至少這個方法可以杜絕文件名里包含.asp的偽造木馬了!
