CKEditor/CKFinder升级心得(转) 漏洞安全设置

CKEditor/CKFinder升级心得(转) 漏洞安全设置

一、CKFinder的若干问题

1.单独使用

ckfinder从原fckeditor分离出来以后可以单独使用，通常我习惯于在工具栏中添加ckfinder.dll，这样以后要使用ckfinder直接从工具箱拖出来即可.




拖到页面中后，会形成这样一个控件实例：

?
2.上传文件自动重命名

修改ckfinder的源文件，找到Connector\CommandHandlers\FileUploadCommandHandler.cs这个文件，定位到:

?
在下面加一行代码:

?
即强制把文件名改为时间格式字符串.



3.上传安全问题

3.1 跟fckeditor类似，默认情况下ckfinder是不允许上传的，找到config.ascx这个文件，定位到

?
在这里加入自己需要的判断逻辑，千万不要直接改成return true;这样相当于免费把自己的服务器变成一个网络硬盘+肉鸡，任何人都可以直接上传任何文件(包括木马)，起码也得类似下面这样:

?
如果您是用membership/role来认证的，上面代码要求用户登录后才能使用ckfinder的上传功能.



3.2 文件扩展名校验

默认情况下，ckfinder几乎能上传任何文件，所以设置允许上传的文件扩展名是必需的，ckfinder采用了黑白名单的做法，即同时可以设置"允许上传的扩展名"及"禁止上传的扩展名"，config.ascx中可参考下面这样设置:

?
这一段设置相当于只允许.zip文件上传，同时禁止.asp,.aspx...之类的服务端文件上传



3.3 MIME类型/ContentType校验

光有扩展名校验是远远不够的，比如在asp时代就有一种经典的攻击方式:

a.先把asp木马文件扩展名改成.jpeg之类(这样就能绕过扩展名检验)

b.然后利用其它发包工具(或直接用ckfinder的上传功能)，上传"伪jpeg"文件

c.如果网站还支持html代码的留言(或产品编码，个人简介编辑等)，写上这样一行代码

?
这里xxx.jpeg即上传后的"伪jpeg"木马，如果服务端允许包含文件的话，浏览包含这行代码的页面，木马就能运行了！

为了防止这类攻击，必须要在服务端做MIME/ContentType校验，因为文件的扩展名不管改成什么，其内在的MIME/ContentType是不会变的，修改方法：

定位到Settings\ResourceType.cs，找到

?
再增加二个数组

?
相应的构造函数也加初始化代码:

?
然后再增加一个方法:

?
然后定位到Connector\CommandHandlers\FileUploadCommandHandler.cs，找到:

?
然后加上:

?
最后再修改config.ascx，加上MIME类型的黑白名单:

?
这样就相对就安全一些了（当然服务器端还可以进一步做安全处理，不过这个话题再展开就变成"服务器安全设置"专题了，不在本文的讨论范围，暂不深入）

4.上传文件大小限制

默认情况下ResourceType的构造函数里，MaxSize=0即不对上传文件大小做限制，所以只要在config.ascx里加上限制就行了

?
即把这里的MaxSize改成想要的值即可(以字节为单位计算)，注意：ResourceType虽然有MaxSize成员，但其实上传代码中并未对上传文件大小做判断，而是在上传完成后生成缩略图时，才做了一次判断，如果需要在上传文件SaveAs以前就做判断处理，自行加一条if语句，比较oFile.ContentLength与MaxSize即可

5.上传后缩略图无法正常显示

这是ckFinder在windows系统中的一个小bug，定位到Settings\Thumbnails.cs,找到public string GetTargetDirectory()方法，改成下面这样:

?
6.动态指定上传路径

默认情况下无法用cs代码修改config.ascx中的BaseUrl设置，因为其后端代码ConfigFile中并没有提供修改BaseUrl的方法，这里我借用了fckeditor以前的用法：利用session来动态处理

?
如上，在Settings\ConfigFile.cs中增加一个属性，让其从session中取值，然后再把config.ascx中的BaseUrl改成下面这样

?
最后在嵌入ckFinder的页面中类似这样处理：

?
7.CKfinder免费版本如何去掉“那啥”的提示

打开core\js\ckfinder_ie.js，找到 {en.call(window,qo);}，改成{/*en.call(window,qo);*/}即可



二、与CKeditor的整合

1.CKeditor的设置

?
这样就可以了，需要说明的"ckfinder.html?Type=Image"上的Type=XXX，即对应CKFinder中Config.ascx的ResourceType设置，而且ResourceType的名称不能用中文名，否则在快速上传时无法上传到服务端。(很多地方是在html中以js方式接收参数的，改成中文后会导致乱码，从而无法正确定位目录，熟悉js的朋友如果想让其支持中文Type名，技术上讲应该是可以修改实现的)

2.与Asp.Net默认安全性的冲突处理

最后：CKFinder需要Session/ViewState，所以如果您的Asp.Net项目中禁用了Session或ViewState，可能会无法正常运行，解决办法要么启用Session/ViewState，要么自行修改CKFinder源代码