月光博客

青青子衿, 悠悠我心, 但为君故, 沉吟至今

« 搜索引擎技术揭密:中文分词技术电信级的网络弹出广告 »

2005-11-28 1:53:3

Z-BLOG的FCKEditor可能有漏洞

  听别人说Z-BLOG的FCKEditor按照默认的配置可能有漏洞,我就赶快去我的BLOG看了看FCKEditor的代码,结果惊出一身冷汗。

  我的FCKEditor下载的比较早,里面的配置果然有问题,再看看filemanager目录下的代码,简直和一个标准的ASP木马没有区别,上传居然没有权限控制,类似动网ASP的上传漏洞在这里也有,那真是毁灭性的灾难啊。

  去掉此漏洞的方法是:删除FCKeditor目录下所有以“_”开头的目录,删除“FCKeditor/editor/filemanager”目录和其全部子目录,虽然上传的功能没有了,但我觉得安全性应该是第一位的。FCKeditor的上传既然不安全,那就必须删除其代码。



原创文章如转载,请注明:转载自月光博客 [ http://www.williamlong.info/ ]

本文链接地址:http://www.williamlong.info/archives/334.html
发布:williamlong | 分类:网站应用 | 评论:15 | 引用:0 | 浏览:
  • 文章排行:
  • 1.KenWong
  • 最近z-blog好像很受某些人的“关注”,不过这也是好事。

    还有其它漏洞么?偶不用FCKEditor的。
  • ip: 218.17.61.*  2005-11-27 22:54:18   回复该留言
  • 2.williamlong
  • 目前其他漏洞我还没找到,不过听别人说有人的Z-BLOG被黑,不知道是哪里的问题,怀疑是不是TUpLoadFile类有漏洞。
  •   2005-11-27 22:59:31   回复该留言
  • 3.3R
  • 55,我这个菜鸟都不知道要怎么改..
  • ip: 219.128.197.*  2005-11-28 10:12:43   回复该留言
  • 4.zx.asd
  • 只要检证系统没问题,就是TUpLoadFile类有漏洞也不怕,因为它是一个封闭的系统。
    FCKEditor有这么大的问题,看来我要Post一个日志了。
  • ip: 61.184.212.*  2005-12-3 0:15:24   回复该留言
  • 5.williamlong
  • FCKEditor设置配置文件的参数也可以把filemanager目录下上传功能屏蔽掉,但是我还是感觉不太放心,也可能是太小心了吧,目前我只用FTP上传,并且需要上传的时候才开FTP服务,应该是比较安全了。另外,你的TUpLoadFile类有没有将ASP文件屏蔽?建议将所有包含ASP的字符都替换掉,防止木马上传。
  •   2005-12-3 0:23:07   回复该留言
  • 6.zx.asd
  • c_option.asp有允许上传文件列表,可自己设置的.
  • ip: 61.184.212.*  2005-12-3 15:16:35   回复该留言
  • 8.huangbznet
  • 请问,这个在asp.net前台用什么控件显示数据库的内容啊??
    前台该怎么用???
  • ip: 218.90.19.*  2006-4-24 14:31:10   回复该留言
  • 10.监控软件
  • 不是要登陆才可以上传文件吗? 不知道密码可以利用这个漏洞吗?
  • ip: 58.213.203.*  2007-6-14 19:17:32   回复该留言
  • 13.battlestar
  • 哈哈,GameSiteScript也是用它,也有Bug啊,我的被黑过,也居然能该服务器上其它网站的文件呢。后来我都删除了。
  • ip: 219.133.140.*  2007-10-18 17:01:29   回复该留言

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 跟随我的推特:跟随我的推特
  • 跟随新浪微博:跟随新浪微博
  • 通过Google订阅本站
  • 通过鲜果订阅本站
  • 通过电子邮件订阅本站

站内搜索

热文排行

最新评论及回复

最近发表

网站收藏

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载本站内容必须也遵循“署名-非商业用途-保持一致”的创作共用协议.

This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.