从近期的客户维护情况来看，我公司（济南国尚网络技术有限公司）对富文本编辑器的安全情深有体会。目前，网络上有太多的网站都是采用的旧版本的编辑器。一旦被猜出网站后台编辑器的地址，这个网站就暴露给了那些外连专家。举个例子：kindeditor，有很多的程序员都喜欢使用这个编辑器，但是旧版本的内容存在安全漏洞。摘抄网上的内容如下：

KindEditor上传解析漏洞影响版本：<= kindeditor 3.2.1(09年8月份发布的最新版)

漏洞利用：利用windows 2003 IIS解析漏洞拿WEBSHELL 

KindEditor列目录漏洞测试版本：KindEditor 3.4.2    KindEditor 3.5.51.

1.http://netknight.in/67cms/kindeditor/php/file_manager_json.php?path=/   

2. //path=/，爆出绝对路径D:AppServwww67cmskindeditorphpfile_manager_json.php (www.111cn.net)  

3. 2.http://netknight.in/67cms/kindeditor/php/file_manager_json.php?path=AppServ/www/67cms/   

4. //根据爆出的绝对路径，修改path的值为AppServ/www/67cms/   

5. 这时将遍历d:/AppServ/www/67cms/下的所有文件和文件名 上传修改拿shell

漏洞影响版本：KindEditor 3.5.2~4.1

漏洞利用： 打开编辑器，将一句话改名为1.jpg

上传图片， 打开文件管理，进入“down”目录，跳至尾页，最后一个图片既是我们上传的一句话后门代码，然后利用这个后门，基本上可以为所欲为啦。

有很多的客户使用的是某网（不点名了，影响不好。这也是我公司为什么后台双选择多个服务器服务商的原因）的服务器，而且是虚拟主机。正巧某网对这个维护的不是很到位，经常导致网站被挂黑连，即使你的网站做的很安全，外连专家也可以通过别的网站给你挂上大量的垃圾文章。

作为网站建设人员，我们应该对所使用的文本编辑器有个较好的认识，闲时经常在网上找找这个编辑器的漏洞，虽然多数程序还只是拿来使用的水平，但不排除网络上有提供相应的解决方案。

最好也是最快的办法，就是即时使用该编辑器的最新版本，并及时更新补丁（如果有）。

济南国尚网络技术有限公司技术有限公司，是以济南网站建设，网站优化为主营业务的一家济南网络公司，立志于给客户制作一个干净漂亮而又足够安全的网站，交付客户一个高水准的互联网商务环境。欢迎来电洽谈：0531-88017386。