在上一篇博文《Fckeditor 2.6.3 (ASP版) 修改(二) ——检测上传文件是否为木马》防止木马的上传采用的是文件上传之后,将文件以文本方式打开,检查是否存在危险字符串,如果存在则删除该文件。同样这个方法也可以用在eWebEditor的防止上传木马中。近日,通过研究发现将上述过程转移到上传类中,效果更佳。
Fckeditor使用是NetRube Upload Class Version 2.3 Build 20070528的无组件上传类(原版的上传类我没看,估计Fckeditor做了一定修改)。该类在Fckeditor的位置为fckeditor/editor/filemanager/connectors/asp/class_upload.asp,本文的所有修改都是针对该文件进行的。
修改思路如下:
1、上传类的SaveAs方法使用了一个SniffHtml方法检测上传的文件是否为html文件。查看该方法的代码,发现该方法能够使用正则表达式检测文件中是否存在特定的字符串,进而判断上传的文件是否为html文件。如果替换检测的特定字符串值,不就实现对上传木马的检测了吗?
2、检查调用SniffHtml的位置,该类使用私有的ByteArray2Text方法将上传的文件转换为text,然后该text值传给SniffHtml。
3、使用和SniffHtml同样的方法,是不是可以完成对危险字符串的检测呢?
有了上述思路,作出具体的修改如下:
1、复制SniffHtml方法,将其改名为SniffSafety,并做相应的修改。SniffHtml和SniffSafety的具体代码如下,真的很像哦。
Private Function SniffHtml( sData )
Dim oRE
Set oRE = New RegExp
oRE.IgnoreCase = True
oRE.Global = True
Dim aPatterns
aPatterns = Array( "
Dim i
For i = 0 to UBound( aPatterns )
oRE.Pattern = aPatterns( i )
If oRE.Test( sData ) Then
SniffHtml = True
Exit Function
End If
Next
SniffHtml = False
End Function
'by togis [email protected] 2009.05.22
Private Function SniffSafety( sData )
Dim oRE
Set oRE = New RegExp
oRE.IgnoreCase = True
oRE.Global = True
Dim aPatterns
'修改aPatterns的值,即可修改需要检测的字符串,^_^
aPatterns = Array(".(getfolder|createfolder|deletefolder|createdirectory|deletedirectory|saveas)","wscript.shell","script.encode","server.",".createobject","execute","activexobject","language=","request","server","script")
Dim i
For i = 0 to UBound( aPatterns )
oRE.Pattern = aPatterns( i )
If oRE.Test( sData ) Then
SniffSafety = False
Exit Function
End If
Next
SniffSafety = True
End Function
2、修改SaveAs方法,增加对 SniffSafety的调用。修改后的SaveAs方法如下:
Public Sub SaveAs(sItem, sFileName)
If File(sItem).Size < 1 Then
nErr = 2
Exit Sub
End If
If Not IsAllowed(File(sItem).Ext) Then
nErr = 4
Exit Sub
End If
If InStr( LCase( sFileName ), "::$data" ) > 0 Then
nErr = 4
Exit Sub
End If
Dim sFileExt, iFileSize
sFileExt = File(sItem).Ext
iFileSize = File(sItem).Size
' Calculate the size of data to load (max 1Kb).
Dim iXSSSize
iXSSSize = iFileSize
If iXSSSize > 1024 Then
iXSSSize = 1024
End If
' Read the data and convert it to text .
Dim sData
oSourceData.Position = File(sItem).Start
sData = oSourceData.Read( iXSSSize ) ' Byte Array
sData = ByteArray2Text( sData ) ' String
' Check XSS.
If Not IsHtmlExtension( sFileExt ) Then
' Sniff HTML data.
If SniffHtml( sData ) Then
nErr = 4
Exit Sub
End If
End If
'Sniff the data to check whether the data contains dangerous strings,by togis email:[email protected] 2009.5.22
If not SniffSafety( sData ) Then
nErr = 4
Exit Sub
End If
Dim oFileStream
Set oFileStream = Server.CreateObject("ADODB.Stream")
With oFileStream
.Type = 1
.Mode = 3
.Open
oSourceData.Position = File(sItem).Start
oSourceData.CopyTo oFileStream, File(sItem).Size
.Position = 0
.SaveToFile sFileName, 2
.Close
End With
Set oFileStream = Nothing
End Sub
这样全部的修改就完成,保存文件,大功告成。个人觉得这样防止木马的上传更彻底,只要使用这个上传类就没办法绕过这个检测。上传一个文本文件,如果包含危险的字符串,是不是提示会提示错误的文件格式???
PS:Fckeditor2.6.4的class_upload.asp文件和2.6.3中的完全一样,我们的修改是通用的哦。