月光博客 » 网站建设 » Z-BLOG的FCKEditor可能有漏洞

Z-BLOG的FCKEditor可能有漏洞

  听别人说Z-BLOG的FCKEditor按照默认的配置可能有漏洞,我就赶快去我的BLOG看了看FCKEditor的代码,结果惊出一身冷汗。

  我的FCKEditor下载的比较早,里面的配置果然有问题,再看看filemanager目录下的代码,简直和一个标准的ASP木马没有区别,上传居然没有权限控制,类似动网ASP的上传漏洞在这里也有,那真是毁灭性的灾难啊。

  去掉此漏洞的方法是:删除FCKeditor目录下所有以“_”开头的目录,删除“FCKeditor/editor/filemanager”目录和其全部子目录,虽然上传的功能没有了,但我觉得安全性应该是第一位的。FCKeditor的上传既然不安全,那就必须删除其代码。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    williamlong   说道:
    FCKEditor设置配置文件的参数也可以把filemanager目录下上传功能屏蔽掉,但是我还是感觉不太放心,也可能是太小心了吧,目前我只用FTP上传,并且需要上传的时候才开FTP服务,应该是比较安全了。另外,你的TUpLoadFile类有没有将ASP文件屏蔽?建议将所有包含ASP的字符都替换掉,防止木马上传。
    支持(6反对(2回复
  1. 2
    blocking   说道:
    要是数据库文件被人猜出名字就惨了。
    支持(5反对(1回复
  1. 3
    williamlong   说道:
    目前其他漏洞我还没找到,不过听别人说有人的Z-BLOG被黑,不知道是哪里的问题,怀疑是不是TUpLoadFile类有漏洞。
    支持(4反对(2回复
  1. 4
    zx.asd   说道:
    只要检证系统没问题,就是TUpLoadFile类有漏洞也不怕,因为它是一个封闭的系统。
    FCKEditor有这么大的问题,看来我要Post一个日志了。
    支持(6反对(5回复
  1. 5
    huangbznet   说道:
    请问,这个在asp.net前台用什么控件显示数据库的内容啊??
    前台该怎么用???
    支持(3反对(2回复
  1. 6
    KenWong   说道:
    最近z-blog好像很受某些人的“关注”,不过这也是好事。

    还有其它漏洞么?偶不用FCKEditor的。
    支持(3反对(4回复
  1. 7
    zylbj   说道:
    我试过他的上传,没法用。
    支持(2反对(3回复
  1. 8
    miennet   说道:
    有什么漏洞呢,请明示
    支持(4反对(5回复
  1. 9
    gargoyle   说道:
    有没有谁用z-blog被黑过啊?
    草泥马 于 2012-4-28 10:47:58 回复
    我的站今天模版被重装了,艹她吗的,只是模版被重装了,后台设置没变
    支持(6反对(7回复
  1. 10
    battlestar   说道:
    哈哈,GameSiteScript也是用它,也有Bug啊,我的被黑过,也居然能该服务器上其它网站的文件呢。后来我都删除了。
    支持(5反对(6回复
  1. 11
    美丽明天   说道:
    Z-blog被人攻入,烦恼中……
    这人总上传改完后的主页,使我的主页打开就成为乱码。GG搜索到此,唉……
    支持(3反对(4回复
  1. 12
    小黑狗   说道:
    现在安全了把~~~~
    支持(3反对(5回复
  1. 13
    zx.asd   说道:
    c_option.asp有允许上传文件列表,可自己设置的.
    支持(1反对(4回复
  1. 14
    J.wei   说道:
    说了有道理
    支持(2反对(6回复
  1. 15
    3R   说道:
    55,我这个菜鸟都不知道要怎么改..
    支持(1反对(7回复

发表留言