晚上看微博出现了个 FCKeditor all versian Arbitrary File Upload Vulnerability
心头一亮 因为最近我也在用我的framework研究 fckeditor
地址: http://www.2cto.com/Article/201108/99594.html
结果经过我刚才验证 这个洞基本上没任何意义 (至少我没发现)
就连 2.4版本 (在 2.4.x 中最早的版本) 中
要么 File 类型扩展名检测是黑名单 里面已经包含了 htaccess
要么 Image 和 Flash 类型扩展名检测是白名单
所以如果真要用这个所谓的exploit
其实还是要用到早就公布过的 Media 类型扩展名没验证 漏洞
那其实就等于脱了裤子放屁一样 .......
我就没搞明白 这个所谓的洞是杂通过 exploit-db Verified 的
from:syc blog
查看更多关于关于FCKeditor all versian Arbitrary File Upload Vuln的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did11574