当前位置:首页 > 行业动态 > 网站建设应关注富文编辑器安全性能,为保障网站正常运行,程序员应该采用最新版本的编辑器。

网站建设应关注富文编辑器安全性能,为保障网站正常运行,程序员应该采用最新版本的编辑器。

2015-05-26 / 578次
从近期的客户维护情况来看,我公司(国尚网络)对富文本编辑器的安全情深有体会。目前,网络上有太多的网站都是采用的旧版本的编辑器。一旦被猜出网站后台编辑器的地址,这个网站就暴露给了那些外连专家。
举个例子:kindeditor,有很多的程序员都喜欢使用这个编辑器,但是旧版本的内容存在安全漏洞。摘抄网上的内容如下:

KindEditor上传解析漏洞
影响版本:<= kindeditor 3.2.1(09年8月份发布的最新版)
漏洞利用:利用windows 2003 IIS解析漏洞拿WEBSHELL 
KindEditor列目录漏洞
测试版本:KindEditor 3.4.2    KindEditor 3.5.51.1.
http://netknight.in/67cms/kindeditor/php/file_manager_json.php?path=/  
 2. //path=/,爆出绝对路径D:AppServwww67cmskindeditorphpfile_manager_json.php (www.111cn.net
 3. 2.http://netknight.in/67cms/kindeditor/php/file_manager_json.php?path=AppServ/www/67cms/  
 4. //根据爆出的绝对路径,修改path的值为AppServ/www/67cms/  
 5. 这时将遍历d:/AppServ/www/67cms/下的所有文件和文件名 
上传修改拿shell漏洞影响版本:
KindEditor 3.5.2~4.1
漏洞利用:
 打开编辑器,将一句话改名为1.jpg   上传图片,
 打开文件管理,进入“down”目录,跳至尾页,最后一个图片既是我们上传的一句话后门代码,然后利用这个后门,基本上可以为所欲为啦。

有很多的客户使用的是某网(不点名了,影响不好。这也是我公司为什么后台双选择多个服务器服务商的原因)的服务器,而且是虚拟主机。正巧某网对这个维护的不是很到位,经常导致网站被挂黑连,即使你的网站做的很安全,外连专家也可以通过别的网站给你挂上大量的垃圾文章。

作为网站建设人员,我们应该对所使用的文本编辑器有个较好的认识,闲时经常在网上找找这个编辑器的漏洞,虽然多数程序还只是拿来使用的水平,但不排除网络上有提供相应的解决方案。最好也是最快的办法,就是即时使用该编辑器的最新版本,并及时更新补丁(如果有)。

济南国尚网络技术有限公司,是以济南网站建设,网站优化为主营业务的一家济南网络公司,立志于给客户制作一个干净漂亮而又足够安全的网站,交付客户一个高水准的互联网商务环境。欢迎来电洽谈:0531-88017386。

上一篇:站在客户与销售的方面去考虑网站建设 下一篇:网站优化相关--网址字母的大小写有区别吗?
济南国尚网络技术有限公司©版权所有 2013-2015 SiteMap 管理登陆