网站地图 | RSS订阅 老铁博客 - 上海SEO优化|上海网站建设|蜘蛛池出租|站群代搭建
你的位置:首页 » 网站优化 » 正文

网站安全FCKeditor的漏洞排查

2019-7-30 22:33:27 | 作者:老铁SEO | 0个评论 | 人浏览

  今天对网站(不方便透露网站名称和网址)进行了备份,突然发现杀毒软件提示有病毒,心头一直冰凉。

  查看病毒文件所在位置,对于网络程序员来讲,就可以知道病毒的大概来自于网站的什么漏洞了,

  本网站漏洞所在位置为上传目录,那就说明网站有上传漏洞,在这个站点中,共用了两种上传方式,一种是微软本身提供的上传组件,一种是使用了FCKeditor编辑器的上传功能。

  第一个想到的是,肯定是FCKeditor本身的上传漏洞,因为好多人在研究FCKeditor的漏洞,而我本身站内使用微软的上传组件应该来讲不会出多大的问题。

  上网搜索了一下关键词“FCKeditor 上传 漏洞 aspx”,刷的一大片文章,但是好多是重复的内容,重复最多的内容是(相对于aspx网站):

  进过我们网站测试,这个漏洞没有用,不能上传文件,后来使用抓包工具进行上传,也没有成功,可能这个FCKeditor 漏洞在我使用的这边版本已经打好补丁了。

  test的意思是,测试网址,在小站中全部找完上面的路径,都没有找到这些文件,看来这个漏洞也是没有的,可是在想,会不会在其它路径下会有text.html的测试地址没有被删除,搜索果然找到一个,地址为:FCKeditor/editor/filemanager/browser/default/connectors/test.html

  测试上传,什么文件都可以上传,发生这样的错误,真是不应该(本网站已经删除相关文件)!

  1,当在使用FCKeditor的时候,要删除一些不用的文件如你使用的是aspx编程的话,那就可以删除所有asp、php、jsp等等相关的内容。

  2,查找FCKeditor目录下面是否有test.html的文件,如果有则删除。

  • 本文来自: 老铁博客,转载请保留出处!欢迎发表您的评论
  • 相关标签:网站漏洞  
  • 已有0位网友发表了一针见血的评论,你还等什么?

    必填

    选填

    记住我,下次回复时不用重新输入个人信息

    必填,不填不让过哦,嘻嘻。

    ◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。