青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 搜索引擎技术揭密:中文分词技术电信级的网络弹出广告 »

Z-BLOG的FCKEditor可能有漏洞

  听别人说Z-BLOG的FCKEditor按照默认的配置可能有漏洞,我就赶快去我的BLOG看了看FCKEditor的代码,结果惊出一身冷汗。

  我的FCKEditor下载的比较早,里面的配置果然有问题,再看看filemanager目录下的代码,简直和一个标准的ASP木马没有区别,上传居然没有权限控制,类似动网ASP的上传漏洞在这里也有,那真是毁灭性的灾难啊。

  去掉此漏洞的方法是:删除FCKeditor目录下所有以“_”开头的目录,删除“FCKeditor/editor/filemanager”目录和其全部子目录,虽然上传的功能没有了,但我觉得安全性应该是第一位的。FCKeditor的上传既然不安全,那就必须删除其代码。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/334.html
  • 文章排行:
  • 1.williamlong
  • FCKEditor设置配置文件的参数也可以把filemanager目录下上传功能屏蔽掉,但是我还是感觉不太放心,也可能是太小心了吧,目前我只用FTP上传,并且需要上传的时候才开FTP服务,应该是比较安全了。另外,你的TUpLoadFile类有没有将ASP文件屏蔽?建议将所有包含ASP的字符都替换掉,防止木马上传。
  • 2005/12/3 0:23:07   支持(6)反对(2) 回复
  • 2.blocking
  • 要是数据库文件被人猜出名字就惨了。
  • 2008/5/19 19:46:30   支持(5)反对(1) 回复
  • 3.williamlong
  • 目前其他漏洞我还没找到,不过听别人说有人的Z-BLOG被黑,不知道是哪里的问题,怀疑是不是TUpLoadFile类有漏洞。
  • 2005/11/27 22:59:31   支持(4)反对(2) 回复
  • 4.zx.asd
  • 只要检证系统没问题,就是TUpLoadFile类有漏洞也不怕,因为它是一个封闭的系统。
    FCKEditor有这么大的问题,看来我要Post一个日志了。
  • 2005/12/3 0:15:24   支持(6)反对(5) 回复
  • 5.huangbznet
  • 请问,这个在asp.net前台用什么控件显示数据库的内容啊??
    前台该怎么用???
  • 2006/4/24 14:31:10   支持(3)反对(2) 回复
  • 6.KenWong
  • 最近z-blog好像很受某些人的“关注”,不过这也是好事。

    还有其它漏洞么?偶不用FCKEditor的。
  • 2005/11/27 22:54:18   支持(3)反对(4) 回复
  • 7.zylbj
  • 我试过他的上传,没法用。
  • 2005/12/12 12:01:44   支持(2)反对(3) 回复
  • 9.gargoyle
  • 有没有谁用z-blog被黑过啊?
    草泥马 于 2012-4-28 10:47:58 回复
    我的站今天模版被重装了,艹她吗的,只是模版被重装了,后台设置没变
  • 2007/6/15 10:24:12   支持(6)反对(7) 回复
  • 10.battlestar
  • 哈哈,GameSiteScript也是用它,也有Bug啊,我的被黑过,也居然能该服务器上其它网站的文件呢。后来我都删除了。
  • 2007/10/18 17:01:29   支持(5)反对(6) 回复
  • 11.美丽明天
  • Z-blog被人攻入,烦恼中……
    这人总上传改完后的主页,使我的主页打开就成为乱码。GG搜索到此,唉……
  • 2010/5/29 19:58:00   支持(3)反对(4) 回复
  • 13.zx.asd
  • c_option.asp有允许上传文件列表,可自己设置的.
  • 2005/12/3 15:16:35   支持(1)反对(4) 回复
  • 15.3R
  • 55,我这个菜鸟都不知道要怎么改..
  • 2005/11/28 10:12:43   支持(1)反对(7) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.