- 作者:admin
- 最后更新:2019-04-27
- 来源:国尚网络
举个例子:kindeditor,有很多的程序员都喜欢使用这个编辑器,但是旧版本的内容存在安全漏洞。摘抄网上的内容如下:
KindEditor上传解析漏洞
影响版本:<= kindeditor 3.2.1(09年8月份发布的最新版)
漏洞利用:利用windows 2003 IIS解析漏洞拿WEBSHELL
KindEditor列目录漏洞
测试版本:KindEditor 3.4.2 KindEditor 3.5.51.1.
http://netknight.in/67cms/kindeditor/php/file_manager_json.php?path=/
2. //path=/,爆出绝对路径D:AppServwww67cmskindeditorphpfile_manager_json.php
3. 2.http://**/67cms/kindeditor/php/file_manager_json.php?path=AppServ/www/67cms/
4. //根据爆出的绝对路径,修改path的值为AppServ/www/67cms/
5. 这时将遍历d:/AppServ/www/67cms/下的所有文件和文件名
上传修改拿shell漏洞影响版本:
KindEditor 3.5.2~4.1
漏洞利用:
打开编辑器,将一句话改名为1.jpg 上传图片,
打开文件管理,进入“down”目录,跳至尾页,最后一个图片既是我们上传的一句话后门代码,然后利用这个后门,基本上可以为所欲为啦。
有很多的客户使用的是某网(不点名了,影响不好。这也是我公司为什么后台双选择多个服务器服务商的原因)的服务器,而且是虚拟主机。正巧某网对这个维护的不是很到位,经常导致网站被挂黑连,即使你的网站做的很安全,外连专家也可以通过别的网站给你挂上大量的垃圾文章。
作为网站建设人员,我们应该对所使用的文本编辑器有个较好的认识,闲时经常在网上找找这个编辑器的漏洞,虽然多数程序还只是拿来使用的水平,但不排除网络上有提供相应的解决方案。最好也是最快的办法,就是即时使用该编辑器的最新版本,并及时更新补丁(如果有)。
济南国尚网络技术有限公司技术有限公司,是以济南网站建设,网站优化为主营业务的一家济南网络公司,立志于给客户制作一个干净漂亮而又足够安全的网站,交付客户一个高水准的互联网商务环境。欢迎来电洽谈:0531-88017386。