0x00 漏洞描述 漏洞存在于kindeditor编辑器里,你能上传.txt和.html文件,支持php/asp/jsp/asp.net,漏洞存在于小于等于kindeditor4.1.5编辑器中 这里html...dir=file kindeditor/asp.net/upload_json.ashx?dir=file kindeditor/jsp/upload_json.jsp?...dir=file 0x03 漏洞利用 google搜素一些存在的站点 inurl:kindeditor 1.查看版本信息 http://www.xxx.org/kindeditor//kindeditor.js...dir=file kindeditor/asp.net/upload_json.ashx?dir=file kindeditor/jsp/upload_json.jsp?... Uploader <script src="http://www.xxx.org/<em>kindeditor</em>//<em>kindeditor</em>.js
我相信目前国内富文本编辑器中KindEditor 属于前列,详细的中文帮助文档,简单的加载方式,可以定制的轻量级。...都是系统的首选 很多文章教程有kindeditor的使用,但本文比较特别可能带有,上传文件的缩略图和水印的源码!...了解常用方法 我们不需要很深入和学习这个富文本编辑器,用到什么到官方查什么就可以,或者google一下,下面是最受关注的几个方法了 加载编辑器 设置编辑器的值 获取编辑器的值 上传图片和文件 上传图片加水印、缩略图...现在我们一个一个来了解 1.加载编辑器 引入JS(前要引入jquery) <script src="@Url.Content("~/Scripts/kindeditor/kindeditor-min.js...就可以了 设置值editor.html('Hello KindEditor'); 3.获取编辑器的值 editor.html() 看到官方的http://kindeditor.net/
kindeditor默认是prettify,我行号没弄出来,换了syntaxhighlighter,下面是配置的代码。。。 var editor; KindEditor.ready(function(K) { editor = K.create
1.下载 KindEditor 2.放在static/js下 3.在admin.py中配置文件: 4.在static/js/kindeditor下配置config.js文件 首先在kindedito...import datetime as dt @csrf_exempt def upload_image(request, dir_name): ################## # kindeditor
KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框...第一步:导入KindEditor文件 从官网下载好文档之后,将相关文件导入到我们的项目中,如下图;并在需要富文本编辑框的页面中引入相应的文件。 ? 第二步:初始化KindEditor编辑器 在页面添加javaScript代码初始化KindEditor编辑器,并在页面富文本编辑处指定...//初始化KindEditor编辑器 var editor; KindEditor.ready(function (K)
推荐两款富文本编辑器:NicEdit和Kindeditor 做过Web开发的朋友相信都使用过富文本编辑器,比较出名的CuteEditor和CKEditor很多人应该已经使用过,在功能强大的同时需要加载的东西也变得很多...KindEditor是一套开源的HTML可视化编辑器,主要用于让用户在网站上获得所见即所得编辑效果,兼容IE、Firefox、Chrome、Safari、Opera等主流浏览器。...KindEditor使用JavaScript编写,可以无缝的与Java、.NET、PHP、ASP等程序接合。这个是官网上的介绍。.../JS/KindEditor/kindeditor-min.js" type="text/javascript"> <script type="text/javascript...NicEditor相比较<em>KindEditor</em>来说还显的不是很成熟。在我最近的一个需求中就有两点没有达到,最后选用了KindEdior。
1下载kindeditor包,目前最新版本是kindeditor-3.5.5。下载地址:http://www.kindsoft.net/ 2.解压之后,解压目录kindeditor如下图所示。...3.开始瘦身,其实调用kindeditor并不需要那么多文件,只要保留目录:plugins、skins和文件kindeditor3.5.5.js即可。其余的文件均可删除。...4,把瘦身后的目录kindeditor拷贝到Web工程的WebRoot下面,然后打开kindeditor3.5.5.js,设置skinsPath和pluginsPath两个属性,值分别为/kindeditor.../skins,/kindeditor/plugins。...5 页面调用 (1)首先引入kindeditor3.5.5.js文件 (2) 在要调用编辑器的文件中建立textArea标签,如:<textarea id=”editor” name=”editor
之后在需要用到KindEditor的页面引入以下两个js文件(具体js目录根据你的KindEditor文件夹位置而定) <script charset="utf-8" src="<em>kindeditor</em>文件夹所在目录/<em>kindeditor</em>文件夹名...标签就会变成<em>KindEditor</em>编译器 用法一,自己选择需要的功能: 按照上面的部署方式,最终呈现的是一个完整版<em>KindEditor</em>编译器,可其中很多功能不一定需要,那么可以在刚刚提到的js脚本中对<em>KindEditor</em>...我们看到的<em>KindEditor</em>编译器实际上不是我们之前自己写在页面中的textarea标签,当我们在<em>KindEditor</em>编译器里输入完内容并提交表单后,<em>KindEditor</em>会自动将我们输入的内容“同步”...我们可以利用我们之前建的<em>KindEditor</em>对象对<em>KindEditor</em>编译器进行操作,令其进行同步数据。
//创建编辑器 function createEditor(){ KindEditor.ready(function(K) { ChatEditor = K.create(‘textarea.win_chat_textarea...resizeType : 0, langType : ‘zh_CN’, designMode : true, pasteType : 2, uploadJson : rootpath + ‘/kindeditor.../jsp/upload_json.jsp’, fileManagerJson : rootpath + ‘/kindeditor/jsp/file_manager_json.jsp’, allowFileManager
很多被攻击的网站的后台使用的是Kindeditor编辑器并使用upliad_json组件来进行上传图片以及文档等文件,目前存在漏洞的版本是Kindeditor 4.1.5以下,漏洞发生的代码文件是在upload_json.php...我们来复现这个Kindeditor上传漏洞,首先使用的是Linux centos系统,数据库采用的是MySQL5.6,PHP版本使用的是5.4,我们将Kindeditor 4.1.5的源码拷贝到刚搭建的服务器里去...如何判断该网站使用的是Kindeditor编辑器呢? 1.kindeditor/asp/upload_json.asp?...dir=file 2.kindeditor/asp.net/upload_json.ashx?dir=file 3.kindeditor/jsp/upload_json.jsp?...dir=file 4.kindeditor/php/upload_json.php?
这个项目是tp5.0做的,网站定义入口文件在public下,所以根目录下就是hook,static,upload三个文件夹。
text/html; charset=UTF-8"> Insert title here ...,放到静态资源中,并通过script标签指定(注意核实路径,js指定后需要重启项目) 3.设置自动提交的代码 $(function(){ var obj; KindEditor.ready(function(K)
鉴于单位里的安全设备比较贫瘠,无法查看全流量,干脆直接上机......根据文件上传的物理路径很容易找到上传点: 上传点有两处,第一处是kindeditor编辑器,做了后端验证,限制上传文件的格式,这时候开发已经改过代码...第二处是缩略图,直接拿哥斯拉试一下,结果连改包都没有用到就提示上传成功了......这时候心沉到了谷底......返回列表页面查看依然是显示之前的缩略图,然后服务器物理路径下也都是清一色的图片文件,这就说明是代码对文件做了过滤...限制的方式是在kindeditor使用的文件上传接口里限制html。...四、启示 这次事件是kindeditor引发的未授权文件上传漏洞,可能就算有流量分析设备的支持也捕获不到异常行为,因为攻击者使用的就是网站的正常功能,大隐隐于市,毕竟未授权类漏洞在OWASP TOP10
做出来的效果就是: 缩略图显示,依次是附件中的图片,若不存在,输出文章的第一张图片,若不存在,输出对应的tag缩略名图片,若是未配置的tag,则输出随机图片,若文章不存在tag,则输出随机图片。...首先在functions.php添加 /** 输出文章缩略图 */ function showThumbnail($widget) { // 当文章无图片时的默认缩略图 $rand =...rand(1,99); // 随机 1-99 张缩略图 $random = $widget->widget('Widget_Options')->themeUrl ....$rand . '.jpg'; // 随机缩略图路径 // $random = $widget->widget('Widget_Options')->themeUrl ....比如该篇文章标签名字是typecho,默认他的缩略名也是typecho,但我把它的缩略名改成了te,也就是说这篇文章的缩略图是te.jpg。
Canvas生成缩略图 前言 个人博客的图片太大了,想换成缩略图,正好学了点Canvas,发现用Canvas画出来的图片就有点缩略图的感觉,于是就开始搞起来了 利用canvas实现绘制图片 先通过...a.download = img.src.split('/')[img.src.split('/').length - 1] a.click() } 使用input:file实现生成多张缩略图... 生成缩略图 生成缩略图
内容部分我们采用直接截取开始段落或者用摘要的方式,对于缩略图的我们一般是考虑两种方法。 第一、直接获取内容图片 一般我们是获取内容中的图片的,如果有图片就获取第一张图,如果没有图片就自适应不显示图片。...那可以采用随机缩略图的方式,预设一些缩略图JS调用。...本文出处:老蒋部落 » DedeCMS织梦自动获取内容缩略图或者随机缩略图设置 | 欢迎分享
老蒋在之前"Typecho调用文章第一张图作为缩略图以及随机缩略图调用"文章中有整理到使用文章中第一个图片作为缩略图的,如果文章中没有图片那就用随机图片。...这里存在一个问题,如果我们希望缩略图比较规范一些,希望自己定义缩略图,那总不能一直用第一张图片作为缩略图吧。 所以考虑到是否可以用Typecho中附件中的图片作为缩略图。这样我们可以控制缩略图。
缩略图调优 我们生成缩略图的时候,有很多种格式可以选择,下图是一个生成缩略图效果的对比。
post_type=post&p=2068 上山打老虎 欢迎分享与聚合,尊重版权,可以联系授权 ImageMagick 在生成缩略图的过程中遇到的问题。...FFMPEG 缩略图生成 视频信息获取 /** * 获取视频信息 * @param path 视频路径 * @returns 视频信息 */ export const getVideoInfo...info.format.size, ]; return res; }; 视频时长获取 如果直接截取视频的某一帧的话会出现截取不到或者首帧为空白,后者这种粗暴的做法会导致页面上的所有视频的缩略图都可能是...duration -of default=noprint_wrappers=1:nokey=1 ${from}`, { encoding: 'utf8' }, ).toString(), ); 转码截取缩略图
2、PIL模块中Image类thumbnail()方法可以用来制作缩略图,它接受一个二元数组作为缩略图的尺寸,然后将示例缩小到指定尺寸。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
