公司使命:打造嘉兴技术实力最强的网络公司
服务项目:嘉兴网站建设 嘉兴网站制作 嘉兴网站优化
新闻中心

网站安全FCKeditor的漏洞排查

发布时间:2011/6/15 17:26:30   文章来源:jiaxingweb   浏览:[  ]   评论:[  ]

        今天对网站(不方便透露网站名称和网址)进行了备份,突然发现杀毒软件提示有病毒,心头一直冰凉。

 

      

 

        查看病毒文件所在位置,对于网络程序员来讲,就可以知道病毒的大概来自于网站的什么漏洞了,

 

        本网站漏洞所在位置为上传目录,那就说明网站有上传漏洞,在这个站点中,共用了两种上传方式,一种是微软本身提供的上传组件,一种是使用了FCKeditor编辑器的上传功能。

 

        第一个想到的是,肯定是FCKeditor本身的上传漏洞,因为好多人在研究FCKeditor的漏洞,而我本身站内使用微软的上传组件应该来讲不会出多大的问题。

 

        上网搜索了一下关键词“FCKeditor  上传 漏洞 aspx”,刷的一大片文章,但是好多是重复的内容,重复最多的内容是(相对于aspx网站):

 

FCKeditor/editor/filemanager/browser/default/frmupload.html?Type=all&Connector=connectors/aspx/connector.aspx

 

        就是打开这个网址就可以上传任何文件(前面省去了域名),打开界面如下:

      


        进过我们网站测试,这个漏洞没有用,不能上传文件,后来使用抓包工具进行上传,也没有成功,可能这个FCKeditor 漏洞在我使用的这边版本已经打好补丁了。

 

        继续上网寻找漏洞,有一篇文章是这样的

 

FCKeditor 中test 文件的上传地址:
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html


        test的意思是,测试网址,在小站中全部找完上面的路径,都没有找到这些文件,看来这个漏洞也是没有的,可是在想,会不会在其它路径下会有text.html的测试地址没有被删除,搜索果然找到一个,地址为:FCKeditor/editor/filemanager/browser/default/connectors/test.html

 

        打开这个地址:界面如下:

      

      

        测试上传,什么文件都可以上传,发生这样的错误,真是不应该(本网站已经删除相关文件)!

总结一下


        1,当在使用FCKeditor的时候,要删除一些不用的文件如你使用的是aspx编程的话,那就可以删除所有asp、php、jsp等等相关的内容。

        2,查找FCKeditor目录下面是否有test.html的文件,如果有则删除。

评论
发表评论
评论内容:
昵称:
邮箱:
嘉兴网络公司 嘉兴网站建设 嘉兴网站制作 嘉兴建网站 嘉兴做网站 嘉兴网页制作 PE给水管 HDPE中空壁缠绕管 ABS管生产厂家
服务热线: 0573-82102225 15858312461 QQ: 56373131 E-mail: sales@jiaxingweb.com 地址: 嘉兴市南湖区富润路101号320室 浙ICP备09050985号
嘉兴网站建设-嘉兴网站制作-嘉兴网站优化-龙媒网络@嘉兴网络公司 www.jiaxingweb.com