当前位置:主页 > SEO优化 >

网站安全FCKeditor的漏洞排查

作者: 奕星SEO 分类: SEO优化 发布时间: 2019-08-10 10:20 阅读量:

  今天对网站(不方便透露网站名称和网址)进行了备份,突然发现杀毒软件提示有病毒,心头一直冰凉。

  查看病毒文件所在位置,对于网络程序员来讲,就可以知道病毒的大概来自于网站的什么漏洞了,

  本网站漏洞所在位置为上传目录,那就说明网站有上传漏洞,在这个站点中,共用了两种上传方式,一种是微软本身提供的上传组件,一种是使用了FCKeditor编辑器的上传功能。

  第一个想到的是,肯定是FCKeditor本身的上传漏洞,因为好多人在研究FCKeditor的漏洞,而我本身站内使用微软的上传组件应该来讲不会出多大的问题。

  上网搜索了一下关键词“FCKeditor 上传 漏洞 aspx”,刷的一大片文章,但是好多是重复的内容,重复最多的内容是(相对于aspx网站):

  进过我们网站测试,这个漏洞没有用,不能上传文件,后来使用抓包工具进行上传,也没有成功,可能这个FCKeditor 漏洞在我使用的这边版本已经打好补丁了。

  test的意思是,测试网址,在小站中全部找完上面的路径,都没有找到这些文件,看来这个漏洞也是没有的,可是在想,会不会在其它路径下会有text.html的测试地址没有被删除,搜索果然找到一个,地址为:FCKeditor/editor/filemanager/browser/default/connectors/test.html

  测试上传,什么文件都可以上传,发生这样的错误,真是不应该(本网站已经删除相关文件)!

  1,当在使用FCKeditor的时候,要删除一些不用的文件如你使用的是aspx编程的话,那就可以删除所有asp、php、jsp等等相关的内容。

  2,查找FCKeditor目录下面是否有test.html的文件,如果有则删除。


本文链接地址:http://www.seohuizhou.com/seoyouhua/824.html
上一篇:<<网站被黑 怎么办
下一篇:仓储设备货架站群开源cms系统物流搬运工具cms站群系统多城市分>>