月光博客 » 网站建设 » eWebEditor编辑器的安全漏洞

eWebEditor编辑器的安全漏洞

  今天帮一个朋友清除了Z-Blog里的一个系统漏洞。

  早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。

  经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。

  首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。

  其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。

  解决这个问题的方法是,先用admin登录到后台,修改密码,然后删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码,感觉写的比较乱,可能还会有其他漏洞,不建议使用这个编辑器。

  对于Z-Blog的安全,我觉得,应该尽量少地增加一些编辑器或其他插件,关闭用户注册功能,关闭附加编辑器的上传功能,不要使用一些有安全漏洞的编辑器,这样才可以保证系统的安全性。

  另外要少在页面里添加外部的script代码,特别是统计代码。我就曾经为了统计浏览数而增加了一个名叫武林榜(50bang)的统计代码,曾经发现偶尔会出现病毒,也有用户举报,以前总以为是不是武林榜服务器被黑客攻击,后来才知道原来武林榜和周鸿袆、庞升东等搞过9991这样声名狼藉的木马病毒的人有着密切的关系,因此我以最快的速度将武林榜的代码从我所有网页里删除,防止其再去害人。

  在当今之中国,网民是命中注定要被那些做网站的老流氓们强奸,即使高手也会防不胜防。

eWebEditor编辑器的安全漏洞

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    ss   说道:
    呵呵,ilmay的哪。。
    支持(10反对(5回复
  1. 2
    mingzi   说道:
    我觉得eweb还是很好的
    有些问题是使用者没做好!
    我用的是免费的
    哈哈哈
    个人体验而已!!!
    支持(10反对(5回复
  1. 3
    武汉   说道:
    ewebeditor是有漏洞,但是也很好防范;iis里禁止asa映射、禁止相关目录写权限,限制asa文件的上传基本上就可解决。。。不要一棒子打死。。。
    小生路过 于 2011-5-8 2:41:51 回复
    把asp、asa、asp;、asa;、asasp、asasp;cgi、cgi;php、php;、aspx、aspx;、jsp、jsp;禁止掉估计就行了吧?
    支持(15反对(11回复
  1. 4
    leavic   说道:
    即使添加asa、cer这两种过滤也不是绝对安全的,伪装成数据库上传,然后利用备份数据库的功能一样可以还原出木马,这种例子在其他程序上并不少见,文件过滤最好当然是"只允许",而不是"不允许"。

    胡说八道中。。。
    支持(11反对(8回复
  1. 5
    aw   说道:
    你提到了一个大忽悠的名字:)
    支持(7反对(4回复
  1. 6
    leo   说道:
    现在很多人用ewebeditor ,我做网站也用它,当然是经过一些简单的修改后,你说不用它,那用什么比较好一点呢,推荐一个吧,谢谢。
    支持(9反对(6回复
  1. 7
    老男孩   说道:
    以后俺有问题也找月光GG帮忙,,呵呵..

    我找了些世界杯的图片放在我的博客上面,欢迎大家去看啊!
    支持(9反对(7回复
  1. 8
    sss   说道:
    此作者纯属放P,编辑器安不安全,不是它本身,而且你的代码是不是有让用户上传其它文件的权限,这才是关键,只是笨B才把别人的劳动成果说得一文不值,此文作者在放这个P的同时,你有没有想过你自己能不能写一个这样的东西呢?你不能,白痴!
    支持(7反对(5回复
  1. 9
    Who   说道:
    保存上传文件目录禁止运行脚本嘛......
    支持(6反对(5回复
  1. 10
    williamlong   说道:
    用记事本或者EditPlus等工具查看IIS日志。
    支持(9反对(9回复

发表留言