سوال: خطر Fckeditor برای آپلود [بایگانی]

tabrizp

چهارشنبه 26 فروردین 1388, 00:01 صبح

من از fckeditor برای ادیتور صفحم استفاده می کنم

کنترل پنلم رو از طریق Session حفاظت میکنم و در این صفحه ها از fckeditor استفاده می کنم و خیالم راحت بود که هر کسی نمیتونه به fckeditor دسترسی پیدا کنه که از اونجا مثلا از طریق filemanager اون فایل بتونه آپلود کنه

ولی با کمال تعجب دیدم وقتی صفحه ای رو مثل آدرس زیر فراخوانی می کنم به راحتی هر کسی میتونه به فابل منیجر دسترسی پیدا کنه مثلا

(این آدرس جایی که شما در fckeditor روی دکمه اضافه کردن عکس کلیک کردین و بعد روی فهرست نمایی سرور)

http://localhost:53976/Project029/editor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http%3A%2F%2Flocalhost%3A53976%2FProjct% 25202009%2Feditor%2Feditor%2Ffilemanager%2Fconnect ors%2Faspx%2Fconnector.aspx

برای حفاظت کردن از فایل منیجر از طریق سشن شما چیکار کردین ؟!

Neo Persian

چهارشنبه 26 فروردین 1388, 12:00 عصر

شما اگه سورس config.ascx رو يه نگاه بندازيد همه چيز مشخص ميشه:

/**
* This function must check the user session to be sure that he/she is
* authorized to upload and access files in the File Browser.
*/
private bool CheckAuthentication()
{
// WARNING : DO NOT simply return "true". By doing so, you are allowing
// "anyone" to upload and list the files in your server. You must implement
// some kind of session validation here. Even something very simple as...
//
// return ( Session[ "IsAuthorized" ] != null && (bool)Session[ "IsAuthorized" ] == true );
//
// ... where Session[ "IsAuthorized" ] is set to "true" as soon as the
// user logs in your system.

return true;
}

تو اين متد شما عمل authorization رو انجام بدين