使用burpsuite突破fckeditor

点击Create folder，新建一个8.asp的文件夹，然后打开burp suite,然后设置IE代理，接着点击确定：

然后，来到burp suite，看看数据包，定位到8.asp文件夹信息相关处：

（至于怎么配置看https://www.360docs.net/doc/a314208172.html,/?p=227https://www.360docs.net/doc/a314208172.html,/?p=60）

我们看到8.asp还是8.asp，没有变成8_asp，也就是说我的猜测是错误的，不是本地变得。但是，该处除了有NewFolderName，还有CurrentFolder，%2F即 / 。想到了双文件加突破的方法。于是。。我想到了把CurrentFolder的值改为由 / 改为/8.asp。。

然后转发，查看返回结果：

看样子似乎是成功了。

然后，我们刷新一下fckeditor来浏览目标服务器：可以看到，8.asp文件夹已经成功生成！！

于此，我们已经成功建立了8.asp的文件夹，接下来。。就比较简单了~~

接下来，会有惊喜哦~

我们点击8.asp，进入该文件夹：

发现8_asp存在于该目录下。。这说明什么呢？

总结一下：使用该方法突破fckeditor，从根本上来讲，就是fckeditor只对NewFolderName 进行了检查，而对CurrentFolder不进行检查的缺陷（我不喜欢称之为漏洞）。

原本是要生成 /8.asp，服务器会改为/8_asp。

而当我们把 CurrentFolder改为/8.asp，则原本是会建立/8.asp/8.asp的文件夹，最后的

8.asp会被变为8_asp，由于/8.asp文件夹不存在，创建8_asp文件夹的时候，同时也会创建8.asp的文件夹。。这就解释了8_asp在8.asp文件夹之下的原因。。

千错万错，fckeditor不该不检查CurrentFolder，或者不该把CurrentFolder可由我们操作。。

FCKEDITOR_API使用详解

FCKeditor API使用详解 2009-04-2614:46 利用Javascript取和设FCKeditor值也是非常容易的，如下： //获取编辑器中HTML内容 function getEditorHTMLContents(EditorName){ var oEditor=FCKeditorAPI.GetInstance(EditorName); return(oEditor.GetXHTML(true)); } //获取编辑器中文字内容 function getEditorTextContents(EditorName){ var oEditor=FCKeditorAPI.GetInstance(EditorName); return(oEditor.EditorDocument.body.innerText); } //设置编辑器中内容 function SetEditorContents(EditorName,ContentStr){ var oEditor=FCKeditorAPI.GetInstance(EditorName); oEditor.SetHTML(ContentStr); } FCKeditorAPI是FCKeditor加载后注册的一个全局对象，利用它我们就可以完成对编辑器的各种操作。 在当前页获得FCK编辑器实例： var Editor=FCKeditorAPI.GetInstance('InstanceName'); 从FCK编辑器的弹出窗口中获得FCK编辑器实例： var Editor=window.parent.InnerDialogLoaded().FCK; 从框架页面的子框架中获得其它子框架的FCK编辑器实例： var Editor= window.FrameName.FCKeditorAPI.GetInstance('InstanceName'); 从页面弹出窗口中获得父窗口的FCK编辑器实例： var Editor=opener.FCKeditorAPI.GetInstance('InstanceName'); 获得FCK编辑器的内容： oEditor.GetXHTML(formatted);//formatted为：true|false，表示是否按HTML格式取出 也可用： oEditor.GetXHTML();

渗透攻击测试—Burp Suite

渗透攻击测试——Burp Suite Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具，并为这些工具设计了许多接口，以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息，持久性，认证，代理，日志，警报的一个强大的可扩展的框架。本文主要介绍它的以下特点： 1.代理–Burp Suite带有一个代理,通过默认端口8080上运行，使用这个代理，我们可以截获并修改从客户端到web应用程序的数据包. 2.Spider(蜘蛛)–Burp Suite的蜘蛛功能是用来抓取Web应用程序的链接和内容等，它会自动提交登陆表单（通过用户自定义输入）的情况下.Burp Suite的蜘蛛可以爬行扫描出网站上所有的链接,通过对这些链接的详细扫描来发现Web应用程序的漏洞。 3.Scanner(扫描器)–它是用来扫描Web应用程序漏洞的.在测试的过程中可能会出现一些误报。重要的是要记住,自动扫描器扫描的结果不可能完全100%准确. 4.Intruder(入侵)–此功能呢可用语多种用途,如利用漏洞,Web应用程序模糊测试,进行暴力猜解等. 简要分析 代理工具可以说是Burp Suite测试流程的一个心脏，它可以让你通过浏览器来浏览应用程序来捕获所有相关信息，并让您轻松地开始进一步行动，在一个典型的测试中，侦察和分析阶段包括以下任务： 手动映射应用程序-使用浏览器通过BurpSuite代理工作，手动映射应用程序通过以下链接，提交表单，并通过多步骤的过程加强。这个过程将填充代理的历史和目标站点地图与所有请求的内容，通过被动蜘蛛将添加到站点地图，可以从应用程序的响应来推断任何进一步的内容(通过链接、表单等)。也可以请求任何未经请求的站点(在站点地图中以灰色显示的)，并使用浏览器请求这些。 在必要是执行自动映射-您可以使用BurpSuite自动映射过程中的各种方法。可以进行自动蜘蛛爬行，要求在站点地图未经请求的站点。请务必在使用这个工具之前，检查所有的蜘蛛爬行设置。

BurpSuite爆破密码

Burp Suite--- Intruder小技巧 作者：小冰50421961[AT] QQ [Dot] com 0x00 题外话 最近朋友送了我少女时代日本巡回演唱会蓝光高清限量版，太激动了！为此表示感谢，所以才有了下文。O(∩_∩)O哈哈~废话不多说，进入正题。 0x01 Intruder—暴力破解 安装要求： Java环境下载地址： https://www.360docs.net/doc/a314208172.html,/j2se/downloads.html Burp Suite下载地址： https://www.360docs.net/doc/a314208172.html,/burp/download.html 入门： 安装完成后可以双击可执行的JAR文件，如果不工作，你可以运行在命令提示符或终端输入。命令: Java –jar burpsuite_v1.4.jar 上篇文章对于burp的基本设置，已经说了很明了了，在这我就只提下就行咯。(*^__^*) 嘻嘻…… 配置过程如下： 代理端口配置如下图： 浏览器的配置如下图：

然后把拦截（intercept）功能关闭,因为我们这里不需要进行数据拦截 目标：登陆页面 思路过程：寻找登陆错误关键字—进行暴力破解 打开我们的目标如下图：

我们随意填写账户密码进行登陆，以此获取到登陆的错误信息如下图： 然后返回burp看提交和返回数据信息如下图：

发现我们浏览器所爆出的错误信息在数据包返回的页面中根本无法找到。我想这应该是要pro 版本 才能查看到数据吧 O(∩_∩)O 哈哈~ 开个玩笑！其实细心的童鞋会发现我上图我所标注的地方，HTTP 状态码302—重定向到另外一个url，我们看看第二个url 返回的内容如下图：

FCKeditor编辑器漏洞利用

ＦＣＫｅｄｉｔｏｒ编辑器页／查看编辑器版本／查看文件上传路径ＦＣＫｅｄｉｔｏｒ编辑器页 ＦＣＫｅｄｉｔｏｒ／＿ｓａｍｐｌｅｓ／ｄｅｆａｕｌｔ．ｈｔｍｌ查看编辑器版本 ＦＣＫｅｄｉｔｏｒ／＿ｗｈａｔｓｎｅｗ．ｈｔｍｌ 查看文件上传路径 ｆｃｋｅｄｉｔｏｒ／ｅｄｉｔｏｒ／ｆｉｌｅｍａｎａｇｅｒ／ｂｒｏｗｓｅｒ／ｄｅｆａｕｌｔ／ｃｏｎｎｅｃｔｏｒｓ／ａｓｐ／ｃｏｎｎｅｃｔｏｒ．ａｓｐ？Ｃｏｍｍａｎｄ＝ＧｅｔＦｏｌｄｅｒｓＡｎｄＦｉｌｅｓ＆Ｔｙｐｅ＝Ｉｍａｇｅ＆ＣｕｒｒｅｎｔＦｏｌｄｅｒ＝／ ＸＭＬ页面中第二行　“ｕｒｌ＝／ｘｘｘ”的部分就是默认基准上传路径 Ｎｏｔｅ：［Ｈｅｌｌ１］截至２０１０年０２月１５日最新版本为ＦＣＫｅｄｉｔｏｒ　ｖ２．６．６ ［Ｈｅｌｌ２］记得修改其中两处ａｓｐ为ＦＣＫｅｄｉｔｏｒ实际使用的脚本语言 ＦＣＫｅｄｉｔｏｒ被动限制策略所导致的过滤不严问题 影响版本：　ＦＣＫｅｄｉｔｏｒ　ｘ．ｘ　＜＝　ＦＣＫｅｄｉｔｏｒ　ｖ２．４．３脆弱描述： ＦＣＫｅｄｉｔｏｒ　ｖ２．４．３中Ｆｉｌｅ类别默认拒绝上传类型： ｈｔｍｌ｜ｈｔｍ｜ｐｈｐ｜ｐｈｐ２｜ｐｈｐ３｜ｐｈｐ４｜ｐｈｐ５｜ｐｈｔｍｌ｜ｐｗｍｌ｜ｉｎｃ｜ａｓｐ｜ａｓｐｘ｜ａｓｃｘ｜ｊｓｐ｜ｃｆｍ｜ｃｆｃ｜ｐｌ｜ｂａｔ｜ｅｘｅ｜ｃｏｍ｜ｄｌｌ｜ｖｂｓ｜ｊｓ｜ｒｅｇ｜ｃｇｉ｜ｈｔａｃｃｅｓｓ｜ａｓｉｓ｜ｓｈ｜ｓｈｔｍｌ｜ｓｈｔｍ｜ｐｈｔｍ Ｆｃｋｅｄｉｔｏｒ　２．０　＜＝　２．２允许上传ａｓａ、ｃｅｒ、ｐｈｐ２、ｐｈｐ４、ｉｎｃ、ｐｗｍｌ、ｐｈｔ后缀的文件 上传后　它保存的文件直接用的￥ｓＦｉｌｅＰａｔｈ　＝　￥ｓＳｅｒｖｅｒＤｉｒ　．　￥ｓＦｉｌｅＮａｍｅ，而没有使用￥ｓＥｘｔｅｎｓｉｏｎ为后缀直接导致在ｗｉｎ下在上传文件后面加个．来突破［未测试］ 而在ａｐａｃｈｅ下，因为＂Ａｐａｃｈｅ文件名解析缺陷漏洞＂也可以利用之，详见＂附录Ａ＂ 另建议其他上传漏洞中定义ＴＹＰＥ变量时使用Ｆｉｌｅ类别来上传文件，根据ＦＣＫｅｄｉｔｏｒ的代码，其限制最为狭隘。攻击利用： 月末分享 h t t p ://w w w .y u e m o b a r .c o m

brupsutie安装教程及汉化

Burpsuite安装教程及汉化方法 1、安装java环境（以jdk-8u261-windows-x64.exe为例） 将jdk-8u261-windows-x64.exe下载放到桌面，直接双击安装即可。安装完成，cmd执行java –version，出现如下信息，说明安装成功。 如果不成功，需要设置环境变量。搜索“系统”，依次按照下图配置环境变量即可。 2、安装brupsutie 安装步骤： （1）cd 到burp-loader-keygen-2.jar所在路径，执行java –jar burp-loader-keygen-2.jar，弹出的对话框中，点击run，弹出如下对话框。显然，关键就是获取activation request 和activation response的值。（2）将（1）中的license值复制过来，点击next，手动激活，根据request值生成response值即可。关系图如下所示：

安装完毕后，cd 到burp-loader-keygen-2.jar所在路径，执行java –jar burp-loader-keygen-2.jar，弹出的对话框中，点击run即可。效果图如下： 3、汉化 cd 到相应目录，执行link.bat文件即可，如图所示。

汉化后的效果图： 4、内容简介： Target：攻击目标网站、目录、所发送的数据信息等；Proxy：对网站数据的拦截、修改、上传等；Spider：爬虫 Scanner：扫描，漏洞发现 Repeater：手动发送http请求分析，常用于漏洞验证；Decoder：加密、解密 Comparer： 5、安装包获取方式：1106324600

FCKeditor文本编辑器的使用方法

FCKeditor是目前最好的html文本编辑器，如果还不明白的话看了下图就知道了 效果图: 那么为什么说是FCKeditor的冰冷之心呢？这不是哗众取宠，主要是说它使用起来有点麻烦，下文就详细说明如何搞定这玩意儿。 1.FCKeditor的官方网站是： 目前最新的FCKeditor 2.4.2版本。 请在此页下载： 如图所示： 要下载FCKeditor2.4.2.zip和 https://www.360docs.net/doc/a314208172.html,版的2个zip包。 说明： FCKeditor2.4.2.zip是其最新的Javascript文件和图片什么的； https://www.360docs.net/doc/a314208172.html,.zip是https://www.360docs.net/doc/a314208172.html,调用的DLL在里面。 2.分别解压后把FCKeditor2.4.2.zip里的fckeditor目录整个复制到网站中。 3.解压https://www.360docs.net/doc/a314208172.html,.zip包后在https://www.360docs.net/doc/a314208172.html,_2.2\bin\Debug目录里找到 FredCK.FCKeditorV2.dll。其他文件没用，把FredCK.FCKeditorV2.dll复制到我们的网站，建立一个Bin目录。

4.引用FredCK.FCKeditorV2.dll。第一步： 第二步： 5.导入工具箱。 在“工具箱”下右键

点击“选择项”。弹出如图窗口： 点击浏览,找到dll所在目录。

这时发现工具箱里多出FCKeditor控件。 6.拖拽FCKeditor到页面上

7.配置WebConfig 说明：BasePath是fckeditor所在路径，fckeditor由于我们直接放网站目录下这样写就可以，如果您的网站多放几层适当调整即可。

Burp Suite使用说明

目录 什么是Burp Suite (1) Burp Suite工具箱 (1) Burp Suite的使用 ............................. 错误!未定义书签。Burp 菜单.. (2) 搜索 (2) 保存和恢复状态 (3) 记录设置 (6) 精简模式 (6) 目标站点地图 ................................. 错误!未定义书签。比较站点地图 (10) 目标范围..................................... 错误!未定义书签。套件选项..................................... 错误!未定义书签。连接选项 . (15) Sessions 选项 (10) 显示选项 (18) SSL选项 (19) 杂项 (19) 定制工具 (21) 搜索 (22) 查找注释和脚本 (22) 查找引用 (22) 分析目标 (23) 搜索内容 (24) 任务调度 (25) 手动模拟测试 (25) Burp Proxy帮助 (27) 什么是Burp代理 (27) 使用Burp代理 (22) 拦截选项卡(Intercept tab) (27) 项目选项卡(Options tab) (30) 历史记录选项(History tab) (33) 浏览器控制(In-browser controls) (37)

Burp Spider帮助 (39) Burp网络爬虫是什么？ (39) 使用Burp Spider (39) 控制选项(Control tab) (40) 项目选项卡(Options tab) (41) Spider的结果 (44) Burp Scanner帮助 (45) Burp Scanner是什么？ (45) 主动扫描 (45) 被动扫描 (46) 开始扫描 (46) 审查结果 (51) 扫描优化 (53) 报告 (55) Burp Intruder帮助 (58) Burp Intruder是什么？ (58) 配置Burp Intruder (58) 启动一次攻击 (75) Burp Repeater帮助 (79) 使用Burp Repeater (79) 选项 (81) Session Handler帮助 (82) 会话处理的挑战 (82) Burp的cookie容器 (82) 会话处理规则 (83) 宏 (84) 使用示例 (85) 会话处理跟踪器 (91) Burp工具的集成 (91)

FCKeditor (jsp在线编辑器)配置总结

FCKeditor （jsp在线编辑器）配置总结 折腾了两天，从eWebEditor到CKeditor再到FCKeditor真是费足了劲了！ 本人比较喜欢开源的，在网上狂搜一通最后被CKeditor强大的功能和华丽的界面吸引的五体投地~~，高高兴兴的下载了CKeditor，花费了半天的时间终于把CKeditor配置好了，结果一点图片发现连个上传图片的按钮都没有（~~~~(>_<)~~~~ ），原来还需要一个CKfinder插件。于是又兴冲冲的跑到官网上找CKfinder，找到最后却发现就是没有java版的！！！而且这个插件好像是要收费的，哎~真是郁闷死了。 不能用CKeditor那就用FCKeditor吧，呵呵，下面牢骚归正传： 一、首先到官网下载最新版本的 FCKeditor 2.6.5下载地址： https://www.360docs.net/doc/a314208172.html,/project/downloading.php?group_id=75348&filename=FCKeditor_2.6.5.zip FCKeditor.Java 2.6 要下的有fckeditor-java-demo-2.6.war (示例，我觉得下载这一个就够了) fckeditor-java-2.6-src.zip (源文件，如果你想看就下吧) fckeditor-java-2.6-bin.zip (我下了，但没有上) 二、(1)、把FCKeditor 2.6.5解压到WebRoot下 (2)、解压fckeditor-java-2.6-bin.zip，把文件夹中的fckeditor-java-core-2.6.jar以及lib中的所有jar 包拷贝到你的web程序的lib中，fckeditor-java-demo-2.6.war中的slf4j-simple-1.5.8.jar也要拷进去（注意：slf4j-api和slf4j-simple的版本一定要一致）。如果你觉得麻烦，那么就从fckeditor-java-demo-2.5.war 中直接将lib文件夹下的所有jar包复制到项目的lib中，我就是这么做的。 (3)、把fckeditor-java-demo-2.6.war 中的web.xml中的servlet的配置复制到你的web程序中web.xml 中。 ConnectorServlet net.fckeditor.connector.ConnectorServlet 1 ConnectorServlet /fckeditor/editor/filemanager/connectors/* (4)、把fckeditor-java-demo-2.6.war 中的fckeditor.properties复制到你项目的src中 (5)、通过它提供的标签库添加应用：

WebScarab小教程

来自：https://www.360docs.net/doc/a314208172.html,/thanks4sec/blog/item/6350e83d758f380290ef39c5.html 这个东东和burpsuite差不多，很有用 SQL注入是目前Web应用中最常见的漏洞，只要网页上有提交框并且该提交框的内容影响后台的查询的SQL语句，就可能存在该漏洞。一般程序员在编写Web应用程序时都是直接从request中取出提交的参数的值放入到SQL语句中进行查询，这就造成了一个又一个的SQL注入风险。熟悉SQL语句的攻击者会在网页输入框中输入设计好的内容，将SQL的查询逻辑改变，从而得到自己想要的东西。举几个例子： 案例1：绕过登录界面： 常见的登录页面有两个输入框，一个用户名，一个密码，后台的SQL语句为 select*from Users where username=’[用户名]’and password=’[密码]’ 其中[用户名]和[密码]分别为在两个输入框中输入的内容，一般来说没有什么问题，程序员只要判断返回的recordset的记录数大于0就可以使用户登录进去，但是如果恶意用户在用户名中输入x’or‘1’=’1,密码随便输，那么后台的SQL查询语句就会变为 select*from Users where username=’x’or‘1’=’1’and password=’[密码]’ 其中where语句的逻辑值始终为真，如果能猜中用户名，即可以使用该用户登录 案例2：执行危险的SQL语句； 现在不少数据库支持批处理，使用分号隔开多个SQL语句，如一个查询界面，可以查询客户号（客户号为数字类型），后台的SQL语句为： select*from customers where ID=[客户号] 其中[客户号]为用户输入内容，假如用户输入的为1;drop table customers。则整个SQL语句变为select*from customers where ID=[客户号]1;drop table customers，这样的查询一过，Customers表就没了。 使用同样的手法，恶意用户还可以植入触发器，修改数据，总之，可以执行后台的SQL执行时使用的数据用户权限内的所有操作。 当然SQL注入攻击也不见得都是这么简单，有的时候需要认真分析网页，猜测其SQL的结构，并且需要利用一些工具进行辅助。本文对WebGoat教程中的一段有关SQL注入测试进行解释，WebGoat我在另一篇文章【学习Web应用漏洞最好的教程----WebGoat】中有过介绍。因为在测试中用到了WebScarab，这里简单介绍一下。 WebScarab说白了就是一个代理工具，他可以截获web浏览器的通信过程，将其中的内容分析出来，使你很容易修改，比如我发一个submit请求，WebScarab首先截获到，不急着给真正的服务器，而是弹出一个窗口让你可以修改其中的内容，修改结束了再提交给服务器，如果网页的输入框进行了一些限制，如长度限制、数字格式限制等，只能使用这种方式进行修改了；它也可以修改服务器返回的response，这就可以过滤掉一些对客户端进行限制的js 等。这是OWASP的另一利器。 下面开始注入过程：

网站管理系统使用手册

前言： 本手册适用于师友网站群管理系统版本，根据客户需求，各模块的功能略有不同，所提供的界面图片仅供参考。 第一部分：常用操作 一、系统登录 从网站前台点击“管理登录”进入后台登录页面或直接从前台登录窗口，输入帐号和密码，点击“登录”进入系统。后台登录界面如下图示（图片仅供参考）： Web方式登录窗口 二、系统界面 三、修改密码和个人资料 从系统操作主界面顶部右侧导航区点击“修改密码”和“个人资料”，打开修改密码窗口和修改个人资料的窗口。修改密码必须提供正确的原始密码。 修改登录密码界面 五、退出登录 从系统操作主界面顶部右侧的导航区点击“退出”，即可注销用户的登录信息并返回登录界面。 第二部分网站管理 一、站点管理 站点管理主要包括站点的创建、修改、删除、审核和站点的栏目管理。站点管理的主界面如下图所示： 1、创建新站点 从“站点管理”模块，点击“创建新网站”，打开创建新站点的编辑窗口。如下图所示：站点包括“主站”和“班级”网站两种类型，创建“班级”网站前，必须事先在系统管理的“班级设置”模块设置好学校的班级。 创建新站点需要指定网站的名称、网址、网站目录，选择该网站的管理员。各项目指定的内容及说明详见窗口的“使用说明”。 “本站是系统门户”只有系统管理员能够指定，并且整个系统中只能指定一个网站为“门户”，被指定为门户的网站可以接受其他网站的投稿。 “管理员”可以管理本站点下的所有栏目内容，并且可以进行站点栏目的管理。 2、修改站点信息 参见“创建新站点”功能。 3、发布与取消发布 只有发布的站点才能够接受投稿和管理。管理员可以根据需要对网站进行开通与关闭。 4、站点的删除 删除某一个站点，该站点下面的所有栏目及所有内容都将同时被删除，并且不能够恢复。请慎用此功能。对于已经有内容的站点，在不需要的时候可以先设置为“不发布”。 二、栏目管理

FCKeditor使用方法详解

FCKeditor使用方法技术详解 作者：深蓝色 QQ：76863715 本文PHPChina论坛首发 本文特为《PHP5和MySQL5 Web开发技术详解》一书编写 1、概述 FCKeditor是目前最优秀的可见即可得网页编辑器之一，它采用JavaScript编写。具备功能强大、配置容易、跨浏览器、支持多种编程语言、开源等特点。它非常流行，互联网上很容易找到相关技术文档，国内许多WEB项目和大型网站均采用了FCKeditor（如百度，阿里巴巴）。本文将通过与PHP相结合，从基本安装到高级的配置循序渐进介绍给广大PHPer。 FCKeditor官方网站：https://www.360docs.net/doc/a314208172.html,/ FCKeditor Wiki：https://www.360docs.net/doc/a314208172.html,/ 2、下载FCKeditor 登录FCKeditor官方站（https://www.360docs.net/doc/a314208172.html,），点击网站右上角“Download”链接。笔者编写本文时，FCKeditor当前最新的稳定版本是2.4.3，因此我们下载此版本的zip压缩格式文档。如图1所示： 图1：下载FCKeditor 2.4.3（最新稳定版）

注意：当点击“FCKeditor_2.4.3.zip”链接后，将跳转到https://www.360docs.net/doc/a314208172.html,网站上自动下载。如果您当前使用Linux或Unix系统，可以点击“FCKeditor_2.4.3.tar.gz”链接下载.tar.gz格式的压缩包。 3、安装FCKeditor 解压“FCKeditor_2.4.3.zip”文档到您的网站目录下，我们先假定您存放FCKeditor和调用脚本存于同一个目录下。目录结构如下图所示： 图2：网站目录结构图 fckeditor目录包含FCKeditor2.4.3程序文件。check.php用于处理表单数据。add_article.php 和add_article_js.html分别是PHP调用FCKeditor和JavaScript调用FCKeditor实例脚本文件。 3.1、用PHP调用FCKeditor 调用FCKeditor必须先载入FCKeditor类文件。具体代码如下。 接下来，我们需要创建FCKeditor实例、指定FCKeditor存放路径和创建（显示）编辑器等。具体代码如下所示（代码一般放在表单内）。 BasePath = './fckeditor/'; // 设置FCKeditor目录地址 $FCKeditor->Width='100%'; //设置显示宽度 $FCKeditor->Height='300px'; //设置显示高度的高度 $oFCKeditor->Create() ; // 创建编辑器 ?> 下面是笔者创建好的实例代码，您可将代码保存为add_article.php。

Burp Suite 应用教程

! Burp Suite 是Web应?用程序测试的最佳?工具之?一。它可以执?行很多种功能，拦截请求修改后重放攻击、扫描web应?用程序漏洞，暴?力破解登录框框，检查随机性会话令牌等诸多功能。在这篇?文章中，我们会完整的时间每?一项功能来讨论这个套件的所有特性。 Burp Suite 的免费版在BT5中就有提供了，专业的破解版我也会放到最后，在免费版中?一些功能是不能使?用的，?比如Burp Scanner, Task Scheduler, Target Analyzer,（功能部分为了?大家使?用?方便我就写英?文了）。下?面是她全部的功能 1) Proxy - Burp Suite ?自带?一个默认运?行在8080端?口的代理服务器。使?用这个代理服务器，我们可以拦截并且修改我们发往服务端的流量。明?白来讲就是将我们以前抓包，改包在发送的过程简化并加强。这个代理服务器功能强?大，也可以重定向我们的数据流量，具体我们会在下?面讨论。 2) Spider - ??网络蜘蛛的功能就是爬取??网站应?用程序，寻找新连接，内容等等。它可以?自动提交登录表单（根据?用户的输?入），登录后继续寻找?一些特定的功能。所有被找到的信息都可以被送往 Scanner中进?行详细的分析和扫描。 3) Scanner - 扫描?用于扫描web应?用程序中的漏洞，这个扫描是被动的且可以被?用户定义的，但是我们要注意的是没有?一款扫描器可以说是100%准确的。且BT5中的免费版本是不提供scanner的。。别怕。。我们有破解版。 4) Intruder - 这个功能可以?用于漏洞利?用，暴?力破解，fuzzing测试等（fuzzing我不太清楚对应中?文命是什么，Fuzzing是?一种基于缺陷注?入的?自动软件测试技术。通过编写fuzzer?工具向??目标程序提供某种形式的输?入并观察其响应来发现问题，这种输?入可以是完全随机的或精?心构造的。Fuzzing测试通常以?大?小相关的部分、字符串、标志字符串开始或结束的?二进制块等为重点，使?用边界值附近的值对??目标进?行测试。百科。! 5) Repeater - 这个功能就是可以修改和重复发送?一个请求很多很多次（当然?自?己可以定义）同时他也可以对返回的结果进?行分析。 6) Sequencer - 这个功能主要?用于检查令牌的随机性。。它可以执?行不同测试来得出我们的结果。 7) Decoder - 这个功能可以?用来解码数据来把数据返回原始表单。或者编码解码数据。 8) Comparer -?用来?比较不同的请求和返回值。?一般我们都是?用来?比较同样输?入的的返回值，来确定变化的地?方。

FCKeditor视频播放设置

一、分别打开:editor/js/fckeditorcode_ie.js和/editor/js/fckeditorcode_gecko.js 找到程序代码 以下是代码片段： Js代码 ||/\.swf($|#|\?)/i.test(A.src) 这段代码的主要用来判断后缀名，如果后缀名不是swf则返回，把它替换为: 以下是代码片段： Js代码 ||/\.swf($|#|\?)/i.test(A.src)||/\.mpg($|#|\?)/i.test(A.src)||/\.asf($|#|\?)/i .test(A.src)||/\.wma($|#|\?)/i.test(A.src)||/\.wmv($|#|\?)/i.test(A.src)||/\.a vi($|#|\?)/i.test(A.src)||/\.mov($|#|\?)/i.test(A.src)||/\.mp3($|#|\?)/i.test( A.src)||/\.rmvb($|#|\?)/i.test(A.src)||/\.mid($|#|\?)/i.test(A.src)||/\.flv($| #|\?)/i.test(A.src)||/\.fla($|#|\?)/i.test(A.src)||/\.mp4($|#|\?)/i.test(A.src) ||/\.rm($|#|\?)/i.test(A.src) 文件格式可以根据情况来修改，但是注意要和其他的几个地方吻合 二、打开/editor/dialog/fck_flash/fck_flash.js 1、增加程序代码，这段代码用来判断后缀名 Js代码 function WinPlayer(url){ var r, re; re = /.(avi|wmv|asf|wma|mid|mp3|mpg|flv|fla|mp4)$/i; r = url.match(re); return r; } function RealPlayer(url){ var r, re; re = /.(.rm|.ra|.rmvb|ram)$/i; r = url.match(re); return r; } function QuickTime(url){

最强悍的FckEditor下载安装配置使用全攻略中文教程

最强悍的FckEditor下载安装配置使用全攻略中文教程 FckEditor配置手册中文教程详细说明 性能 首先,FCKEDITOR的性能是非常好的,用户只需很少的时间就可以载入FCKEDITOR 所需文件.对于其他在线编辑器来说,这几乎是个很难解决的难题,因为在开启编辑器时需要装载太多的文件.比如CUTEEDITOR,虽然功能比FCKEDITOR还要强大,可是,它本身也够庞大了,至于FREETEXTBOX等,其易用性与FCKEDITOR相比,尚有差距,可以说,FCKEDITOR 是一个别具匠心的在线编辑器,它里面融入了作者高深的面向对象的JA V ASCRIPT功力,集易用性与强大的功能与一体. .与编辑器相关的所有图像,脚本以及调用页 .语言文件 .编辑器的皮肤文件 .工具样的贴图等 这些将导致在服务器和客户端间产生相当的流量.如果有许多文件被调用,那么即便每个文件很小.也会让用户等得不耐烦. 装载顺序 从2.0版开始,编辑器按以下步骤装载资源: .基本页(就是编辑器所在页)以及装入编辑器的JS脚本 .用来建立编辑器的脚本 .编辑器的语言和皮肤. .建立编辑器. .载入预置的编辑文档内容. .从现在开始,用户可以阅读和编辑文档了,不过,拖拽支持以及工具栏都是不可用的 .载入编辑器引擎脚本 .建立工具栏,并且可用 .从现在开始,编辑器的所有功能都已经完整 .载入工具栏图标 脚本压缩 在打包任何新版本时,编辑器的JS脚本将会进行预处理.预处理步骤如下: .移除所有代码注释 .移除所有无用的空白字符. .将脚本合并成几个文件 使用上面的方法,我们可以将脚本文件的大小压缩到原来的50%. 压缩后,原始的代码仍然存在于一个名为_Source的文件夹中 如何打包? 编辑器已经自带了打包程序,它位于FCKEDITOR的根文件夹中_PACKAGER文件夹中,名为Fckeditor.Packager.exe,将其复制到FCKEDITOR根文件夹中并运行,即可自动将JS脚本打包并压缩 需要注意的是该程序是一个.NET程序,必须安装.NET FRAMEWORK才能使用

FckEditor for java2.4的JSP配置方法详解

FckEditor for java 2.4的JSP 配置方法详解 2008-08-18 14:00 由于FckEditor for java 2.4相对于2.3而言做了许多改变，这些改变使得我们的Fckeditor配置起来更方便。例如： 基础包名从：com.fredck.FCKeditor改为net.fckeditor. 文件上传SimpleUploaderServle整合到了ConnectorServlet里面，WEB,XML 的配置就简单多了，下面通过一个实例说明配置详细步骤 1、首先登陆https://www.360docs.net/doc/a314208172.html,/download下载FCKeditor的最新版本，需要下载2个压缩包，一个是基本应用。另一个是在为在jsp下所准备的配置。 最新版本为：FckEditor2.6.3和FckEditor for java 2.4 FCKeditor 2.6.3下载地址： https://www.360docs.net/doc/a314208172.html,/project/downloading.php 具体下载地址： https://www.360docs.net/doc/a314208172.html,/sourceforge/fckeditor/FCKeditor_2. 6.3.zip FCKeditor for Java 下载地址： https://www.360docs.net/doc/a314208172.html,/project/downloading.php 具体下载地址： https://www.360docs.net/doc/a314208172.html,/sourceforge/fckeditor/fckeditor-java -2.4-bin.zip（发行版，如果需要源码或者demo包请另行下载） 请下载demo包，否则会出现留言中那位朋友的错误！ 下载之后分别为：FCKeditor_2.6.3.zip 和 fckeditor-java-2.4-bin.zip （fckeditor-java-demo-2.4.war）将它们分别解压。 2、首先在MyEclipse(或者其他的IDE)下建立一个新项目例如：FckedtiorTest 即http://localhost:8080/FckeditorTest 现在将解压后的FCKeditor_2.6.3.zip 里面的fckeditor文件夹拷贝到当前的项目文件夹里面。我的demo项目目录结构如下：

网站后台使用方法

政府网站后台信息管理使用说明 一、登陆系统 各单位管理员根据信息办给定的账户密码进行登陆。后台管理地址https://www.360docs.net/doc/a314208172.html,/jaxxbadmin/Login.aspx 登录网站后台，依次点击"内容管理"->"信息管理"功能链接，在出现的管理界面中，左侧为"网站节点"管理导航，系统以树型结构方式显示站内的节点结构与名称（简称节点树）。在右侧管理界面中，系统以分页列表方式显示了信息内容的ID、标题、录入者、点击数、推荐级别、优先级、状态、已生成和常规管理操作。"常规管理操作"列中提供了修改、删除等管理链接。如图1-1 图1-1 二、信息添加 1、在左侧"网站节点"管理导航中的相应节点名上单击鼠标右键，在出现的右键菜单中选择"添加文章"功能链接（图2-1），出现本节点的"内容添加"管理界面。带“*”为必填项（图2-2）。

图2-1 图2-2 2、基本信息管理选项中显示本信息所属节点、专题、标题前缀、标题、完整标题、副标题、标题颜色、标题字型、列表显示时是否在标题旁显示"评论"链接、关键字、作者、来源、简介、文章内容、首页图片、内容分页方式、自动分页时的每页大约字符数、推荐级别、优先级、状态、评分等级等选项内容。（图2-2）

重要参数说明 ?标题：填写所要添加的文章的标题。 ?关键字：用来显示前台相关文章中的内容，关键字相同的信息会显示在"相关文章"列表中。可输入多个关键字，中间用"|"隔开。不能出现?,.()等字符。 ? 作者：填写文章的作者。 ? 来源：填写文章来源与地址。 ?简介：填写所添加文章的简要介绍。 ?文章内容：系统提供便捷的内容编辑功能。利用系统提供的在线编辑器，可方便地编辑文章等信息内容（编辑器的使用请参阅后节"使用在线编辑器"）。在内容编辑时，若要换行请按Shift+Enter键，若要另起一段请按Enter键。若勾选了内容左侧"自动下载文章内容里的图片"选项。启用此功能后，如果从其它网站上复制内容到边的编辑器中，并且内容中包含有图片，本系统会在保存文章时自动把相关图片复制到本站服务器上。系统会因所下载图片的大小而影响速度，建议图片较多时不要使用此功能。 ?首页图片：用在首页的图片文章处显示本文章的图片缩略图。利用编辑器的上传功能上传图片后，此处会自动显示首页图片地址中图片的地址；若上传了多个图片，则可直接从下拉框中选择已上传的图片。此外，系统还提供了对首页图片进行在线裁剪的功能，图片上传后点击后面的"裁剪"按钮即可对图片进行自由裁剪，以适应前台显示尺寸。 ?内容分页方式：当文中信息太多时，为防止页面过长，可以分页的方式将内容页中的信息分页显示。系统提供自动分页和手动分页二种，手动分页符标记为"NextPage"，注意大小写。 ?自动分页字符数：自动分页时设置每页大约字符数（包含HTML 标记）。 ?推荐级：填写推荐级数值，数字越大推荐级越高，前台推荐列表

PHP中使用FCKeditor编辑器

PHP中使用FCKeditor编辑器 1、概述 FCKeditor 是目前最优秀的可见即可得网页编辑器之一，它采用JavaScript编写。具备功能强大、配置容易、跨浏览器、支持多种编程语言、开源等特点。它非常流行，互联网上很容易找到相关技术文档，国内许多WEB项目和大型网站均采用了FCKeditor（如百度，阿里巴巴）。本文将通过与 PHP相结合，从基本安装到高级的配置循序渐进介绍给广大PHPer。 FCKeditor官方网站：https://www.360docs.net/doc/a314208172.html,/ FCKeditor Wiki：https://www.360docs.net/doc/a314208172.html,/ 2、下载FCKeditor 登录FCKeditor官方站（https://www.360docs.net/doc/a314208172.html,），点击网站右上角“Download”链接。 注意：当点击“FCKeditor_2.4.3.zip”链接后，将跳转到https://www.360docs.net/doc/a314208172.html,网站上自动下载。如果您当前使用Linux或Unix系统，可以点击 “FCKeditor_2.4.3.tar.gz”链接下载.tar.gz格式的压缩包。 3、安装FCKeditor 解压“FCKeditor_2.4.3.zip”文档到您的网站目录下，我们先假定您存放FCKeditor和调用脚本存于同一个目录下。 fckeditor 目录包含FCKeditor2.4.3程序文件。check.php用于处理表单数据。add_article.php和 add_article_js.html分别是PHP调用FCKeditor和JavaScript调用FCKeditor实例脚本文件。 3.1、用PHP调用FCKeditor 调用FCKeditor必须先载入FCKeditor类文件。具体代码如下。 PHP代码: 接下来，我们需要创建FCKeditor实例、指定FCKeditor存放路径和创建（显示）编辑器等。具体代码如下所示（代码一般放在表单内）。 PHP代码:

bpBurpsuite神器常用功能使用方法总结

Burpsuite神器常用功能使用方法总结Burpsuite介绍： 一款可以进行再WEB应用程序的集成攻击测试平台。 常用的功能： 抓包、重放、爆破 1.使用Burp进行抓包 这边抓包，推荐360浏览器7.1版本(原因:方便) 在浏览器设置代理： 360浏览器：工具->代理服务器->代理服务器设置

设置好代理：127.0.0.1:8080 -> 确定 Burpsuite下载: Burpsuite1.6.rar （这边说下，Burpsuite原为收费，打开的时候使用已经破解的补丁就可以正常使用，就是如下的正确打开方式） 打开BurpLoader.jar 进行监听设置： Proxy->Options 我们再仔细看下：

Interface设置要跟前面浏览器设置的代理服务器一样。Running一定要打勾才可以监听。 开始抓包： 360浏览器设置： Burp设置： 这样在浏览器进行操作就可以抓到包：

可以直接在Raw这进行修改包的内容，最后要让包正常传递过去，点击Forward即可。不要这个包，点击Drop，就可以丢弃。 进行重放包： 鼠标对着Raw的内容右击，最后单击Send To Repeater 之后，你会发现这样的情况： 只需要点击Repeater进入重放功能模块。

想要重放点击Go就可以，从页面可以看到左边是我们抓到的包，右边是包返回的结果。进行爆破： 跟上面重放是一样的，右击Raw的内容，点击Send to Intruder 之后也会出现Intruder变黄色。还是跟重放一样，进去爆破功能模块。 设置爆破的参数： 进入后，先点击Clear $ 把要爆破的参数后面的值选中，点击Add $