七彩空间※七彩学堂→网站推广知识
eWebEditor编辑器的安全漏洞
    在网上看到关于Z-BLOG的两个文章编辑器的漏洞,深以为然,解决的办法很简单,大家看一看。
  Z-BLOG的FCKEditor可能有漏洞
 听别人说Z-BLOG的FCKEditor按照默认的配置可能有漏洞,我就赶快去我的BLOG看了看FCKEditor的代码,结果惊出一身冷汗。
   我的FCKEditor下载的比较早,里面的配置果然有问题,再看看filemanager目录下的代码,简直和一个标准的ASP木马没有区别,上传居然没有权限控制,类似动网ASP的上传漏洞在这里也有,那真是毁灭性的灾难啊。
   去掉此漏洞的方法是:删除FCKeditor目录下所有以“_”开头的目录,删除“FCKeditor/editor/filemanager”目录和其全部子目录,虽然上传的功能没有了,但我觉得安全性应该是第一位的。FCKeditor的上传既然不安全,那就必须删除其代码。
eWebEditor编辑器的安全漏洞
今天帮一个朋友清除了Z-Blog里的一个系统漏洞。
   早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。
   经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。
   首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。
   其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。
   解决这个问题的方法是,先用admin登录到后台,修改密码,然后删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码,感觉写的比较乱,可能还会有其他漏洞,不建议使用这个编辑器。
   对于Z-Blog的安全,我觉得,应该尽量少地增加一些编辑器或其他插件,关闭用户注册功能,关闭附加编辑器的上传功能,不要使用一些有安全漏洞的编辑器,这样才可以保证系统的安全性。
 
经典短信推荐
资讯中心 | 电子商务 | 搜索营销 | 设计学院 | 中医养生 | 养生保健 | 节日祝福 | 民俗文化 | 奇闻趣事
建站知识 | 人世百态 | 网站导航 | 传统节日 | 搜索热点 | 星座运势 | 趣闻轶事 | 祝福的话 | 短信大全
© 2023 QicaiSpace.Com