月光博客 » 网站建设 » eWebEditor编辑器的安全漏洞

eWebEditor编辑器的安全漏洞

  今天帮一个朋友清除了Z-Blog里的一个系统漏洞。

  早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。

  经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。

  首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。

  其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。

  解决这个问题的方法是,先用admin登录到后台,修改密码,然后删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码,感觉写的比较乱,可能还会有其他漏洞,不建议使用这个编辑器。

  对于Z-Blog的安全,我觉得,应该尽量少地增加一些编辑器或其他插件,关闭用户注册功能,关闭附加编辑器的上传功能,不要使用一些有安全漏洞的编辑器,这样才可以保证系统的安全性。

  另外要少在页面里添加外部的script代码,特别是统计代码。我就曾经为了统计浏览数而增加了一个名叫武林榜(50bang)的统计代码,曾经发现偶尔会出现病毒,也有用户举报,以前总以为是不是武林榜服务器被黑客攻击,后来才知道原来武林榜和周鸿袆、庞升东等搞过9991这样声名狼藉的木马病毒的人有着密切的关系,因此我以最快的速度将武林榜的代码从我所有网页里删除,防止其再去害人。

  在当今之中国,网民是命中注定要被那些做网站的老流氓们强奸,即使高手也会防不胜防。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    ss   说道:
    呵呵,ilmay的哪。。
    支持(10反对(5回复
  1. 2
    mingzi   说道:
    我觉得eweb还是很好的
    有些问题是使用者没做好!
    我用的是免费的
    哈哈哈
    个人体验而已!!!
    支持(10反对(5回复
  1. 3
    武汉   说道:
    ewebeditor是有漏洞,但是也很好防范;iis里禁止asa映射、禁止相关目录写权限,限制asa文件的上传基本上就可解决。。。不要一棒子打死。。。
    小生路过 于 2011-5-8 2:41:51 回复
    把asp、asa、asp;、asa;、asasp、asasp;cgi、cgi;php、php;、aspx、aspx;、jsp、jsp;禁止掉估计就行了吧?
    支持(15反对(11回复
  1. 4
    leavic   说道:
    即使添加asa、cer这两种过滤也不是绝对安全的,伪装成数据库上传,然后利用备份数据库的功能一样可以还原出木马,这种例子在其他程序上并不少见,文件过滤最好当然是"只允许",而不是"不允许"。

    胡说八道中。。。
    支持(11反对(8回复
  1. 5
    aw   说道:
    你提到了一个大忽悠的名字:)
    支持(7反对(4回复
  1. 6
    leo   说道:
    现在很多人用ewebeditor ,我做网站也用它,当然是经过一些简单的修改后,你说不用它,那用什么比较好一点呢,推荐一个吧,谢谢。
    支持(9反对(6回复
  1. 7
    老男孩   说道:
    以后俺有问题也找月光GG帮忙,,呵呵..

    我找了些世界杯的图片放在我的博客上面,欢迎大家去看啊!
    支持(9反对(7回复
  1. 8
    sss   说道:
    此作者纯属放P,编辑器安不安全,不是它本身,而且你的代码是不是有让用户上传其它文件的权限,这才是关键,只是笨B才把别人的劳动成果说得一文不值,此文作者在放这个P的同时,你有没有想过你自己能不能写一个这样的东西呢?你不能,白痴!
    支持(7反对(5回复
  1. 9
    Who   说道:
    保存上传文件目录禁止运行脚本嘛......
    支持(6反对(5回复
  1. 10
    williamlong   说道:
    用记事本或者EditPlus等工具查看IIS日志。
    支持(9反对(9回复
  1. 11
    学习   说道:
    月光您好,我正学习ewebeditor,有upload.asp源码给一份,谢了
    支持(6反对(6回复
  1. 12
    Trace   说道:
    其实新版的编辑器安全性还是很高的,修改了默认数据库路径和管理员密码之后,暂时还没办法突破。(而默认密码和数据库路径不能算做编辑器的漏洞)
    支持(7反对(9回复
  1. 13
    uusns   说道:
    楼上的,你脑子被鸡踩了吧
    支持(6反对(8回复
  1. 14
      说道:
    13 楼的,你应该是这个公司的吧!!!

    把国外免费开源产品拿来改造收费,多少人的智力被你使用,已经不说你没有什么道德了,偏偏学的不好。。弄的全是漏洞。。。

    楼主提出了那么多问题,是督促你门去改正,你却在这乱咬人。可悲世界上有你这种人。。。。
    支持(8反对(10回复
  1. 15
    吴伟   说道:
    楼主,我不知道你有没有看到这个变量(sAllowExt)?!
    它才是用来限制各种上传文件类型的!
    而下面这句话的作用是在任何情况下都不允许上传asp文件。
    sAllowExt=Replace(UCase(sAllowExt), "ASP", "")

    可能你没仔细分析人家的程序。
    也可能我们使用的版本不一样。
    支持(6反对(8回复
  1. 16
    HJ   说道:
    我现在用的也是eWebEditor编辑器,但是有安全漏洞,大家能不能推荐别的好用的ASP的编辑器啊。
    支持(7反对(10回复
  1. 17
    长天暮鼓   说道:
    再次感谢月光!
    支持(7反对(11回复
  1. 18
    peng   说道:
    我也中了,最近网站频频被挂马,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。现在看来应该动感下载系统(MeskyDMS) V3.3 Build 050805 商业SQL版的eWebEditor 在线HTML编辑器问题,这个东东很不安全,无聊的人上传个木马,添加一个用户,获得服务器的管理权限,现在不知道有没有彻底解决!只是给大家提个醒eWebEditor 在线HTML编辑器很不安全!

    支持(6反对(10回复
  1. 19
    请问   说道:
    请问iis的日志怎么看?默认的日志好像没什么有作用的东西哦……
    支持(8反对(16回复

发表留言