> 行业动态
> 网站建设应关注富文编辑器安全性能,为保障网站正常运行,程序员应该采用最新版本的编辑器。
网站建设应关注富文编辑器安全性能,为保障网站正常运行,程序员应该采用最新版本的编辑器。
2015-05-26 / 188次
从近期的客户维护情况来看,我公司(国尚网络
)对富文本编辑器的安全情深有体会。目前,网络上有太多的网站都是采用的旧版本的编辑器。一旦被猜出网站后台编辑器的地址,这个网站就暴露给了那些外连专家。
KindEditor上传解析漏洞
KindEditor列目录漏洞
4. //根据爆出的绝对路径,修改path的值为AppServ/www/67cms/
KindEditor 3.5.2~4.1
打开编辑器,将一句话改名为1.jpg 上传图片,
打开文件管理,进入“down”目录,跳至尾页,最后一个图片既是我们上传的一句话后门代码,然后利用这个后门,基本上可以为所欲为啦。
有很多的客户使用的是某网(不点名了,影响不好。这也是我公司为什么后台双选择多个服务器服务商的原因)的服务器,而且是虚拟主机。正巧某网对这个维护的不是很到位,经常导致网站被挂黑连,即使你的网站做的很安全,外连专家也可以通过别的网站给你挂上大量的垃圾文章。
作为网站建设人员,我们应该对所使用的文本编辑器有个较好的认识,闲时经常在网上找找这个编辑器的漏洞,虽然多数程序还只是拿来使用的水平,但不排除网络上有提供相应的解决方案。最好也是最快的办法,就是即时使用该编辑器的最新版本,并及时更新补丁(如果有)。