eWebEditor(精选3篇)
eWebEditor 篇1
e Web Editor是基于浏览器的、所见即所得的在线HTML编辑器。能够在网页上实现许多桌面编辑软件 (如:Word) 所具有的强大可视编辑功能 (见图1) 。WEB开发人员可以用它把传统的多行文本输入框<TEXTAREA>替换为可视化的富文本输入框, 使最终用户可以可视化的发布HTML格式的网页内容。e Web Editor成为很多网站内容管理发布的首选工具!其官方网站提供了e Web Editor Version 4.6.0精简版下载, 本文以在ASP环境下使用该版本的编辑器为例。
e Web Editor除了具有很强的在线编辑功能, 对于开发者, 还具有很强的在线可视配置功能。通过在线后台管理, 可方便地对样式、工具栏、按钮、状态栏等各种参数进行可视化配置和对上传文件进行管理 (见图2) 。可视化配置让开发人员真正远离代码级别配置的苦海。开发人员不再需要用很多的时间去了解并记住定制所需用到的程序的结构, 对象的属性, 方法等。
但是, 很多用户发现, e Web Editor成了网站的一个隐形炸弹, 威胁整个网站的安全。因为, 该编辑器具的很多的漏洞成为黑客攻击的入口。
人无完人, 软件亦如此。新产品问世, 用户多了, 树大招风, 很多黑客在研究产品的漏洞后, 通过一定手段攻击你的网站。e Web Editor是开源的, 开源有喜有愁: (1) e Web Editor的漏洞众所皆知, 保证不了网站的安全性; (2) 既然是开源, 用户可以通过一定的修改, 在原来的基础上进一步保证了系统的安全性。下面, 就开发过程中所发现的问题表述一些拙见, 仅供参考。
1 漏洞分析
(1) e Web Editor可视化配置方面了广大用户, 同时, 成了黑客入侵的突破口。黑客可通过访问其根目录下的Admin_Login.asp文件试探密码 (默认用户名:admin, 默认密码:admin) , 若通过默认用户名及密码登录编辑器后台管理页面后, 就可放开手脚胡作非为了。
(2) 只要用过e Web Editor的用户都知道, 该编辑器的后台数据库存放在根目录下的db文件夹下, 名称为ewebeditor.mdb, 数据库无任何密码, 可直接打开 (当然, Access数据库的密码黑客可通过工具破解) 。该数据库保存了编辑器后台登录的系统管理员信息 (表:e Web Editor_System, 该表的sys_User Name字段和sys_User Pass通过MD5加密) , 工具栏信息 (表:e Web Editor_Tool Bar) , 按钮信息 (表:e Web Editor_Button) 及样式信息 (表:e Web Editor_Style) 。黑客可下载数据库ewebeditor.mdb后, 获取所需信息, 进而进行攻击。
(3) e Web Editor的上传文件功能是引入非法代码的关键。如黑客程序包含在X.ASP文件中, 非法用户可通上传X.ASP文件后, 把保存在该文件中的程序引入到你的网站中。虽然e Web Editor提供了代码过滤功能 (Include/De Code.asp) , 但是, 黑客同样可通过更改后缀名达到上传非法文件的目的。
(4) 利用Web Editor session欺骗漏洞, 进入后台:
只判断了session, 没有判断cookies和路径的验证问题。
2 安全设置
上述列举出了e Web Editor网页在线编辑器最常见的3种漏洞, 下面就常见的e Web Editor漏洞, 作以下安全设置:
(1) 及时更改后台管理的登录名及密码, 字符不应过于简单, 最好是英文大小写及数字相结合, 让黑客无可乘之机。登录名及密码通过了MD5加密, 更改用户名及密码并设置相对复杂后, 不易破解。
(2) 更改数据库存放的文件夹名及数据库名。其默认数据库是“db/ewebeditor.mdb”:①可更改存放数据库的“db”文件夹的名称, 最低限度保证了数据库的安全, 如“mydatabase”;②更改数据库“ewebeditor.mdb”的后缀名为“.asp”, 让访问者不能下载, 如“#ewebeditor.asp”。在进行数据库路径更改后, 若要能正常使用编辑器, 需更改“Include/Startup.asp”文件中访问数据库的ASP代码, 把“Startup.asp”文件中的Server.Map Path ("db/ewebeditor.mdb") 更改为相应路径, 本例中应更改为Server.Map Path ("mydatabase/#ewebeditor.asp") 。这样, 保证了数据库的安全性。
(3) 调用“Include/De Code.asp”文件, 过滤估计的不安全字符如“asa、cer”等。
(4) 其它:在很有必要的情况下, 删除e Web Editor后台管理文件, 让黑客无法与该编辑器的后台管理页面“见面”。删除后台管理文件后, 合法用户也无法正常在线登录后台管理页面进行设置, 在提高安全性的同时也带来了不便之处。
(5) 使用了e Web Editor编辑器的网站, 应及时修改该编辑器的默认数据库路径和后缀名, 建议数据库多方几层目录, 防止数据库被黑客非法下载;修改编辑器后台登陆路径和默认的登陆用户名和密码, 防止黑客进入后台管理界面;对Upload.asp语句进行修改, 防止黑客利用其上传ASP木马从而获得WEB权限;及时对网站服务器IIS配置中的应用程序扩展名映射进行整理, 确保其它类型的文件不能在服务器网站上运行。
3 结语
以上是笔者在开发网站过程中使用e Web Editor时的一些心得体会, 目的在于广大网站开发者相互学习、保证网站正常运行。观点仅代表本人意见, 若有不对之处, 请批评指正。
参考文献
[1]冯立, 张景韶, 周利平.基于B/S模式下的网络题库平台研究与实践[J].重庆师范大学学报:自然科学版, 2012 (4) .
[2]蒲玄及, 杨百龙, 杨建飞.基于ASP.NET的在线考试系统设计与实现[J].现代电子技术, 2008 (22) .
[3]张裔智, 赵毅, 汤小斌.MD5算法研究[J].计算机科学.2008 (7) .
[4]范振钧.基于ASP.net的三层结构实现方法研究[J].计算机科学, 2007 (4) .
[5]石晓珍.基于COM的通用题库系统的设计与实现[J].计算机时代, 2006 (8) .
eWebEditor 篇2
URL:
file:
漏洞修补方法:
初始化数组$aStyle
$sUsername = ”admin“;
$sPassword = ”admin“;
$aStyle. = array();
eWebEditor 篇3
随着浏览器版本的不断发展, 不少用户发现在非IE6.0浏览器下, e WebEditor V2.8编辑器无法正常使用:编辑器按钮可以显示, 但鼠标点击时在任务栏出现错误提示, 同时按钮上的功能页面对话框无法弹出。经测试, IE7.0、8.0、9.0等均存在该错误, 考虑到IE各版本的市场占有率等情况, 本文仅探讨IE8.0中的错误和解决之道。
e WebEditor V2.8程序包中的eWebEditor.asp为主文件, 在网页中通过嵌入iframe框架来调用该文件, 加上不同的参数即显示为不同风格和功能的可视化编辑器。在eWebEditor.asp文件中调用了2个Javascript脚本文件, 分别实现了按钮生成和鼠标事件响应:
<Script Language=Javascript src=“include/menu.js”></Script>
<Script Language=Javascript src=“include/editor.js”></Script>
从错误现象得知, eWebEditor V2.8编辑器的按钮显示正常, 只是鼠标点击时出现错误提示且不能弹出功能页面, 意即menu.js工作正常, 而editor.js未正常工作导致不能响应鼠标的点击请求。分析editor.js文件代码发现, 它通过如下语句定义了一个函数BtnMouseUp ( ) 来响应鼠标点击事件:
在上述代码中, 匿名函数anonymous () 仅在IE6.0下有效, 在IE8.0等平台中均已停止使用, 所以该段语句在IE8.0中不能正确执行, 点击按钮后也就无法弹出功能页面对话框。解决思路是, 首先通过if语句判断IE版本号是否为8.0, 如果是则将原来的anonymous () 替换成该版本可以执行的onclick () , 否则继续执行原来的代码。改进后的BtnMouseUp () 函数如下所示:
【eWebEditor】推荐阅读: