FreeTextBox中存在一个严重的安全漏洞

该漏洞是由博客生活的Emissary Web Home 发现的。首先感谢Emissary Web Home ！
该漏洞来自FreeTextBox中的图片库，在图片库中用户可以任意地上传任何文件，比如：aspx文件。我想你会马上意识到这个Bug的严重性，攻击者可以上传任何在服务端执行的破坏性的代码。
该漏洞是FreeTextBox的ImageGallery控件中一处Bug引起的，ImageGallery控件中竟然没有对上传文件的类型进行检查，用Reflector工具查看FreeTextBox的源代码你就会发现，在ImageGallery的RaisePostBackEvent方法中, 直接保存上传的文件，并没有对上传文件类型进行检查，而ImageGallery中竟然有个形同虚设的AcceptedFileTypes属性，一开始我还以为是没有设置这个属性的原因，可一看代码，AcceptedFileTypes有默认设置，如果在RaisePostBackEvent中通过这个属性检查上传文件的类型，这个漏洞就可以避免。
我在FreeTextBox 3.0及最新的FreeTextBox 3.1.1都发现存在这个Bug。
如果你有FreeTextBox的源代码，可以通过修改RaisePostBackEvent方法轻而易举地修复这个Bug。
如果你是.Text或者CNBlogs DotText的用户, 可以在web.config中<HttpHandlers>的第一行加上下面的代码避免有人通过这个漏洞上传代码进行攻击：

<HttpHandler pattern="/images/" type="Dottext.Common.UrlManager.BlogStaticFileHandler, Dottext.Common" handlerType="Direct" />
<HttpHandler pattern="/files/" type="Dottext.Common.UrlManager.BlogStaticFileHandler, Dottext.Common" handlerType="Direct" />

如果你没有FreeTextBox的源代码，可以采用我想到的一个补救措施，写一个继承自ImageGallery的控件，重载RaisePostBackEvent方法，对上传文件类型进行检查，参考代码如下：

public class FTBImageGallery : ImageGallery
{


public FTBImageGallery()




{


}




public override void RaisePostBackEvent(string eventArgument)




{




char[] chArray1 = new char[] { ':' } ;


string[] textArray1 = eventArgument.Split(chArray1);


if(textArray1[0] != null&&textArray1[0]=="UploadImage")




{


this.EnsureChildControls();


if(this.inputFile.PostedFile!=null&&this.inputFile.PostedFile.FileName!=null&&!(IsAcceptedFileTypes(this.inputFile.PostedFile.FileName)))




{


this.returnMessage = "不允许上传该类型的文件";


return;


}


}


base.RaisePostBackEvent (eventArgument);


}




private bool IsAcceptedFileTypes(string fileName)




{


for(int i=0;i<this.AcceptedFileTypes.Length;i++)




{


if(fileName.ToLower().EndsWith("."+this.AcceptedFileTypes[i]))




{


return true;


}


}


return false;


}


}
然后在ftb.imagegallery.aspx中将原来使用的<FTB:ImageGallery/>改为新的控件。