在网上看到关于Z-BLOG的两个文章编辑器的漏洞，深以为然，解决的办法很简单，大家看一看。
　 Z-BLOG的FCKEditor可能有漏洞
　听别人说Z-BLOG的FCKEditor按照默认的配置可能有漏洞，我就赶快去我的BLOG看了看FCKEditor的代码，结果惊出一身冷汗。
　　 我的FCKEditor下载的比较早，里面的配置果然有问题，再看看filemanager目录下的代码，简直和一个标准的ASP木马没有区别，上传居然没有权限控制，类似动网ASP的上传漏洞在这里也有，那真是毁灭性的灾难啊。
　　 去掉此漏洞的方法是：删除FCKeditor目录下所有以“_”开头的目录，删除“FCKeditor/editor/filemanager”目录和其全部子目录，虽然上传的功能没有了，但我觉得安全性应该是第一位的。FCKeditor的上传既然不安全，那就必须删除其代码。
eWebEditor编辑器的安全漏洞
今天帮一个朋友清除了Z-Blog里的一个系统漏洞。
　　 早上，ilmay发邮件给我，说他博客进不去，要我帮忙，我去看了下，发现页面文件里被加入了iframe恶意木马病毒，应该是被黑了，可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus，和我用的自己修改的Z-Blog有点类似，因此我对这个漏洞也比较感兴趣。
　　 经过对IIS日志文件的分析，我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器，却没有说明如何正确使用，并且不做任何修改而直接使用的话，简直就是一场灾难。
　　 首先的一个漏洞是eWebEditor提供了后台登录，默认用户名和密码可以登录进去。
　　 其次，eWebEditor目录下的Upload.asp文件，有一个极为幼稚的错误，即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件，那么为什么不同时过滤asa、cer等文件呢？而且怎么可以用这种有问题的语句进行过滤呢？事实上，黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。
　　 解决这个问题的方法是，先用admin登录到后台，修改密码，然后删除admin_login.asp文件，如果不需要上传的话，最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码，感觉写的比较乱，可能还会有其他漏洞，不建议使用这个编辑器。
　　 对于Z-Blog的安全，我觉得，应该尽量少地增加一些编辑器或其他插件，关闭用户注册功能，关闭附加编辑器的上传功能，不要使用一些有安全漏洞的编辑器，这样才可以保证系统的安全性。