CKfinder漏洞

之前我做CMS用FCKeditor,由于那个上传文件的漏洞,被人搞过,我知道漏洞路径。现在已经更新到CKEDITOR和CKfinder了,但是我现在不知道CKfinder漏洞的路径了。有人知道那个漏洞路径吗?最好给个解决办法。最近要MVC架构基于Zend Framework做一个CMS,之前写的CMS太菜了,漏洞百出。
我知道修补那个漏洞路径的方法是加验证,但是不知道在那个页面加。高手们,最好可以结合Zend framework修补这个漏洞。不结合也没关系,只要能解决就行了。

解决方案 »

  1.   

    一直用的自己改良过的FCKeditor,没用过CKEDITOR。
      

  2.   

    我说一下自己的理解:fck基本上是靠js完成操作,使用firebug修改一下执行就可以绕过。出于安全考虑的话,上传走程序
      

  3.   

    主要就是改它的上传程序,把自己的程序的上传配置加载到里面,并实现验证上传文件的格式(后缀+mime)大小等,如果是图片,会根据自己系统的设置,自动加水印
      

  4.   

    我现在还没有在找到CKfinder漏洞路径~~~~
      

  5.   

    http://hi.baidu.com/lael80/blog/item/360e16f487f1ea63ddc47423.html
      

  6.   

    我在ckfinder里面的config.php文件加了验证
    function CheckAuthentication()
    {
    require_once 'Zend/Auth.php';
    $auth = Zend_Auth::getInstance();
    if ($auth->hasIdentity())
      return true;
    else 
      return false;
    }
    但是不知道那个漏洞路径,没法看到我加的验证有没有产生效果。
    快来个安全高手告诉一下我那个路径吧。
      

  7.   

    我偶然发现了原来是ckfinder.html。
    我几行代码确实有用。
    暂时还没有发现漏洞。
    如果有高手知道ckfinder或者ckeditor有什么漏洞,就赶快告诉小弟。
    如果这个贴结了就发到我邮箱吧:
    [email protected]