青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 拼音输入法简评德国柏林墙的故事 »

eWebEditor编辑器的安全漏洞

  今天帮一个朋友清除了Z-Blog里的一个系统漏洞。

  早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。

  经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。

  首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。

  其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。

  解决这个问题的方法是,先用admin登录到后台,修改密码,然后删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码,感觉写的比较乱,可能还会有其他漏洞,不建议使用这个编辑器。

  对于Z-Blog的安全,我觉得,应该尽量少地增加一些编辑器或其他插件,关闭用户注册功能,关闭附加编辑器的上传功能,不要使用一些有安全漏洞的编辑器,这样才可以保证系统的安全性。

  另外要少在页面里添加外部的script代码,特别是统计代码。我就曾经为了统计浏览数而增加了一个名叫武林榜(50bang)的统计代码,曾经发现偶尔会出现病毒,也有用户举报,以前总以为是不是武林榜服务器被黑客攻击,后来才知道原来武林榜和周鸿袆、庞升东等搞过9991这样声名狼藉的木马病毒的人有着密切的关系,因此我以最快的速度将武林榜的代码从我所有网页里删除,防止其再去害人。

  在当今之中国,网民是命中注定要被那些做网站的老流氓们强奸,即使高手也会防不胜防。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/526.html
  • 文章排行:
  • 2.mingzi
  • 我觉得eweb还是很好的
    有些问题是使用者没做好!
    我用的是免费的
    哈哈哈
    个人体验而已!!!
  • 2007/11/9 9:49:39   支持(10)反对(5) 回复
  • 3.武汉
  • ewebeditor是有漏洞,但是也很好防范;iis里禁止asa映射、禁止相关目录写权限,限制asa文件的上传基本上就可解决。。。不要一棒子打死。。。
    小生路过 于 2011-5-8 2:41:51 回复
    把asp、asa、asp;、asa;、asasp、asasp;cgi、cgi;php、php;、aspx、aspx;、jsp、jsp;禁止掉估计就行了吧?
  • 2007/7/2 11:44:56   支持(15)反对(11) 回复
  • 4.aw
  • 你提到了一个大忽悠的名字:)
  • 2006/6/9 0:17:06   支持(7)反对(4) 回复
  • 5.leo
  • 现在很多人用ewebeditor ,我做网站也用它,当然是经过一些简单的修改后,你说不用它,那用什么比较好一点呢,推荐一个吧,谢谢。
  • 2006/6/14 13:51:54   支持(9)反对(6) 回复
  • 6.leavic
  • 即使添加asa、cer这两种过滤也不是绝对安全的,伪装成数据库上传,然后利用备份数据库的功能一样可以还原出木马,这种例子在其他程序上并不少见,文件过滤最好当然是"只允许",而不是"不允许"。

    胡说八道中。。。
  • 2006/6/8 16:38:06   支持(10)反对(8) 回复
  • 7.老男孩
  • 以后俺有问题也找月光GG帮忙,,呵呵..

    我找了些世界杯的图片放在我的博客上面,欢迎大家去看啊!
  • 2006/6/9 15:28:36   支持(9)反对(7) 回复
  • 8.sss
  • 此作者纯属放P,编辑器安不安全,不是它本身,而且你的代码是不是有让用户上传其它文件的权限,这才是关键,只是笨B才把别人的劳动成果说得一文不值,此文作者在放这个P的同时,你有没有想过你自己能不能写一个这样的东西呢?你不能,白痴!
  • 2007/3/23 12:17:20   支持(7)反对(5) 回复
  • 9.Who
  • 保存上传文件目录禁止运行脚本嘛......
  • 2007/11/7 17:47:50   支持(6)反对(5) 回复
  • 10.williamlong
  • 用记事本或者EditPlus等工具查看IIS日志。
  • 2006/6/9 9:29:39   支持(9)反对(9) 回复
  • 11.学习
  • 月光您好,我正学习ewebeditor,有upload.asp源码给一份,谢了
  • 2008/1/3 10:27:24   支持(6)反对(6) 回复
  • 12.Trace
  • 其实新版的编辑器安全性还是很高的,修改了默认数据库路径和管理员密码之后,暂时还没办法突破。(而默认密码和数据库路径不能算做编辑器的漏洞)
  • 2007/1/19 9:36:59   支持(7)反对(9) 回复
  • 14.我
  • 13 楼的,你应该是这个公司的吧!!!

    把国外免费开源产品拿来改造收费,多少人的智力被你使用,已经不说你没有什么道德了,偏偏学的不好。。弄的全是漏洞。。。

    楼主提出了那么多问题,是督促你门去改正,你却在这乱咬人。可悲世界上有你这种人。。。。
  • 2007/6/6 8:51:09   支持(8)反对(10) 回复
  • 15.吴伟
  • 楼主,我不知道你有没有看到这个变量(sAllowExt)?!
    它才是用来限制各种上传文件类型的!
    而下面这句话的作用是在任何情况下都不允许上传asp文件。
    sAllowExt=Replace(UCase(sAllowExt), "ASP", "")

    可能你没仔细分析人家的程序。
    也可能我们使用的版本不一样。
  • 2008/4/12 15:30:25   支持(6)反对(8) 回复
  • 16.HJ
  • 我现在用的也是eWebEditor编辑器,但是有安全漏洞,大家能不能推荐别的好用的ASP的编辑器啊。
  • 2006/6/13 10:38:51   支持(7)反对(10) 回复
  • 18.peng
  • 我也中了,最近网站频频被挂马,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。现在看来应该动感下载系统(MeskyDMS) V3.3 Build 050805 商业SQL版的eWebEditor 在线HTML编辑器问题,这个东东很不安全,无聊的人上传个木马,添加一个用户,获得服务器的管理权限,现在不知道有没有彻底解决!只是给大家提个醒eWebEditor 在线HTML编辑器很不安全!

  • 2007/1/26 0:38:33   支持(6)反对(10) 回复
  • 19.请问
  • 请问iis的日志怎么看?默认的日志好像没什么有作用的东西哦……
  • 2006/6/9 8:29:36   支持(8)反对(16) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.