1
我想阻止用戶在我的主機上上傳shell(exploit)。我記得fckeditor,幾乎沒有錯誤可以讓黑客在服務器上傳文件。是否有與ckeditor類似的問題?防止ckeditor中的漏洞?
如何信任用戶文件並確保它們不是假文件,例如:黑客可以在pdf文件內編輯 - >文件具有pdf擴展名和類型但具有惡意代碼。
是否使用htmlencode,htmldecode足夠用於XSS攻擊?
A
回答
2
CKEditor的不包括任何文件的上傳,你必須添加的那部分。
同樣,CKEditor沒有這一部分。他們出售CKFinder來填補這個角色,並且它有一些檢查來驗證上傳的文件是否安全,但是您必須非常小心您允許哪些用戶上傳文件到您的服務器。
不可以。如果您使用的是所見即所得編輯器,則不會對提供的數據進行htmlencode編碼,其他基本技巧也不夠。你需要一個完整的支票,如HTMLPurifier
相關問題
- 1. 防止XSS漏洞
- 2. 如何防止Meteor.user()的計時漏洞?
- 3. 防止格式化字符串漏洞
- 4. 如何使用Struts防止XSS漏洞
- 5. 防止後退按鈕漏洞? PHP
- 6. 如何防止wordpress站點中的XSS漏洞
- 7. 如何防止JavaScript中的客戶端DOM XSS漏洞?
- 8. 防止Drupal中的漏洞利用程序
- 9. 如何防止SQL Server中的臨時身份漏洞
- 10. ReactJS中的安全漏洞或漏洞?
- 11. 防止XSS漏洞的措施(如前幾天的推特)
- 12. 如何防止站點上的PHP代碼執行漏洞
- 13. 防止CSRF漏洞,CSRF的替代方法令牌
- 14. 最好的圖書館/做法,以防止OWASP前10漏洞
- 15. 的execve如何防止漏洞比系統命令
- 16. 使用express JS的JSON漏洞防護
- 17. 這個漏洞叫什麼和如何防止?
- 18. glibc fnmatch漏洞:如何揭露漏洞?
- 19. 如何防止IIS服務器中的TTP.sys遠程代碼執行漏洞
- 20. XSS中的常見漏洞?
- 21. PHP post中的漏洞?
- 22. 。magento中的.swf漏洞
- 23. nHibernate漏洞
- 24. wordpress timthumb.php漏洞
- 25. DotNetNuke漏洞
- 26. FWRITE漏洞
- 27. XSS漏洞
- 28. ActiveX漏洞
- 29. XSS漏洞
- 30. PHP MySQL的漏洞