当前位置:首页 >  站长 >  建站经验 >  正文

Kindeditor网站被篡改并提示该网站内容被禁止访问

 2019-05-11 10:37  来源: A5用户投稿   我来投稿   websafe的个人主页 撤稿纠错

  短视频,自媒体,达人种草一站服务

很多建站公司都在使用Kindeditor开源的图片上传系统,该上传系统是可视化的,采用的开发语言支持asp、aspx、php、jsp,几乎支持了所有的网站可以使用他们的上传系统,对浏览器的兼容以及手机端也是比较不错的,用户使用以及编辑上传方面得到了很多用户的喜欢。

前端时间我们SINE安全对其进行全面的网站漏洞检测的时候发现,Kindeditor存在严重的上传漏洞,很多公司网站,以及事业单位的网站都被上传违规内容,包括一些赌博的内容,从我们的安全监测平台发现,2019年3月份,4月份,5月份,利用Kindeditor漏洞进行网站攻击的情况,日益严重,有些网站还被阿里云拦截,并提示该网站内容被禁止访问,关于该网站漏洞的详情,我们来看下。

很多被攻击的网站的后台使用的是Kindeditor编辑器并使用upliad_json组件来进行上传图片以及文档等文件,目前存在漏洞的版本是Kindeditor 4.1.5以下,漏洞发生的代码文件是在upload_json.php代码里,该代码并没有对用户上传的文件格式,以及大小进行安全检测,导致用户可以伪造恶意文件进行上传,尤其html文件可以直接上传到网站的目录下,直接让搜索引擎抓取并收录。

我们来复现这个Kindeditor上传漏洞,首先使用的是Linux centos系统,数据库采用的是MySQL5.6,PHP版本使用的是5.4,我们将Kindeditor 4.1.5的源码拷贝到刚搭建的服务器里去,我们进行访问 http://127.0.0.1/Kindeditor/php/demo.php 截图如下:

打开上传页面后,我们可以发现上传的文件格式默认都是支持htm,html的包括我们上传的html使用XSS跨站攻击脚本代码都是可以执行的。攻击者利用这个网站漏洞批量的进行上传,对网站的快照进行劫持,收录一些非法违规的内容URL。

如何判断该网站使用的是Kindeditor编辑器呢?

1.kindeditor/asp/upload_json.asp?dir=file

2.kindeditor/asp.net/upload_json.ashx?dir=file

3.kindeditor/jsp/upload_json.jsp?dir=file

4.kindeditor/php/upload_json.php?dir=file

还有一个可以上传Webshell的漏洞,可以将asp,php等脚本文件直接上传到网站的目录下,利用方式首先上传一个图片,然后打开文件管理找到我们刚才上传的图片名字,点击改名这里,我们用火狐浏览器进行查看元素,找到FORM表单,将后缀名为JPG的改成PHP,然后点击修改,就可以导致图片文件被改成脚本执行了。

Kindeditor网站漏洞修复方案以及办法

该漏洞影响范围较广,攻击较多,一般都是公司企业网站以及政府事业单位,攻击者利用上传漏洞对其上传一些菠菜赌博棋牌等内容的html文件来进行百度快照的劫持,建议将上传功能进行删除,或者对代码里的上传格式进行限制,去掉html,htm的上传权限,只允许上传图片格式以及word文本。如果对网站代码不是太熟悉的话,可以找专业的安全公司来处理,国内也就Sinesafe公司和绿盟、启明星辰、深信服等网站安全公司比较专业。

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

作者: websafe    /    文章:148篇

相关标签
建站公司
网站漏洞

相关文章

  • 网站建设中常见的数据库SQL漏洞有哪些?

    近年来国家对互联网高科技扶持力度逐渐加大,我国正式进入信息化高速发展的时代,随着信息数据成百倍的增长,伴随而来的信息数据安全问题正在面临严峻的挑战,在企业中网站是企业的形象,网站安全不可忽略,接下来小编就带大家聊聊网站建站中常见的SQL漏洞。

  • 知识产权侵权已严重阻碍建站行业的创新发展

    互联网发展到今天,企事业单位基本都拥有了自己的网站,而且建站公司数量众多,感觉建站也没有什么技术含量了,少则数百元就能上线一个像模像样的官网。

  • 网站安全渗透测试的多种姿势

    我认为,无论是带着全栈的工作经验,还是只能一部分技术性专业知识,要想搞好安全测试务必先变换我们观查软件的角度。举个事例,我们一起看一下:一样一幅画,许多人一眼看以往见到的是2个面部,而许多人见到的是一个大花瓶。这就是观查角度的不一样导致的。在我一开始触碰安全测试时就很深的感受来到这一点。那时候我还在

  • 网络安全公司实习生的经验分享

    前几日,见到TSRC的小密圈里进行了一个“高手”主题活动,聊一聊刚入行后,你心中身旁的高手,刚见到主题活动的情况下哥哥去参加了。这里,再次整理一下,也衷心感谢聊一聊零基础的我是怎样迈入安全行业,小结一下本身的成长历程,谢谢一下这一路上遇到的人。读大学那会,人们学的网络安全就真的是纯碎的”网络安全“,

  • 网站渗透测试中的历程经验记录分析

    伴随着我的客户圈慢慢扩展,我的薄弱点也更加突显,例如我长期性摸着内部网,对外部网不太熟,对传统式的安全研究评估也拿捏不准确,一个详细的安全新项目自己压根担负不了。

    标签:
    网站漏洞

热门排行

信息推荐

扫一扫关注最新创业资讯