暂时防范方法:
1、直接用Access打开ewebeditor的数据库,把其它编辑器自带的样式全部删除。只留下news和tg两个样式!
2、找到完整的,有后台登录ewebeditor编辑器,用admin为账号密码登录。
分几种情况:
1、如不需要投稿功能,那就把tg样式删掉。
2、如需要投稿功能,但不用HTML编辑器,也把tg样式删掉。
3、如要投稿功能,也需要提供HTML编辑器给网友用,把tg样式的所有能上传的按纽全部去掉。只留下普通编辑按纽,不允许上传。
然后把news样式的名字采用随机命名,别人猜不到就行,不使用news为样式名。然后把admin_news_add.asp文件中<IFRAME ID="eWebEditor1" SRC="edit/ewebeditor.asp?id=content&style=news" FRAMEBORDER="0" SCROLLING="no" WIDTH="100%" HEIGHT="399" marginwidth="1" marginheight="1" name="wfasdg"></IFRAME>
把style=news 改为 style=你的随机命名 就可以了。
如保留tg样式,为什么tg样式不随机命名,而news样式要改名?
1、因为tg样式是在投稿页面中使用的,浏览者都可以打开页面源码看到样式名称,所以改名字没有意义,只有把具有上传功能的按纽全部去掉。
2、news样式是管理员添加新闻用的,所以要保留上传功能,news样式的功能可以不改,虽然具有上传功能,但admin_news_add.asp 文件的源码是要登录后台才能看到的,直接访问会提示登录的,这样就不会通过看源码就得不到你的样式名,而通过该漏洞上传文件了。
删除新闻系统目录下的newstg.asp newstg_save.asp 这两个文件!