當前位置:首頁 > 網站建設

Kindeditor網站被篡改并提示該網站內容被禁止訪問

時間:2019-09-17 04:43:19來源:網站建設作者:seo實驗室小編閱讀:94次「手機版」
 

kindeditor

很多建站公司都在使用Kindeditor開源的圖片上傳系統,該上傳系統是可視化的,采用的開發語言支持asp、aspx、php、jsp,幾乎支持了所有的網站可以使用他們的上傳系統,對瀏覽器兼容以及手機端也是比較不錯的,用戶使用以及編輯上傳方面得到了很多用戶的喜歡。

前端時間我們SINE安全對其進行全面的網站漏洞檢測的時候發現,Kindeditor存在嚴重的上傳漏洞,很多公司網站,以及事業單位的網站都被上傳違規內容,包括一些賭博的內容,從我們的安全監測平臺發現,2019年3月份,4月份,5月份,利用Kindeditor漏洞進行網站攻擊的情況,日益嚴重,有些網站還被阿里云攔截,并提示該網站內容被禁止訪問,關于該網站漏洞的詳情,我們來看下。

很多被攻擊的網站的后臺使用的是Kindeditor編輯器并使用upliad_json組件來進行上傳圖片以及文檔等文件,目前存在漏洞的版本是Kindeditor 4.1.5以下,漏洞發生的代碼文件是在upload_json.php代碼里,該代碼并沒有對用戶上傳的文件格式,以及大小進行安全檢測,導致用戶可以偽造惡意文件進行上傳,尤其html文件可以直接上傳到網站的目錄下,直接讓搜索引擎抓取并收錄

我們來復現這個Kindeditor上傳漏洞,首先使用的是linux centos系統,數據庫采用的是mysql5.6,PHP版本使用的是5.4,我們將Kindeditor 4.1.5的源碼拷貝到剛搭建服務器里去,我們進行訪問http://127.0.0.1/Kindeditor/php/demo.php截圖如下:

打開上傳頁面后,我們可以發現上傳的文件格式默認都是支持htm,html的包括我們上傳的html使用XSS跨站攻擊腳本代碼都是可以執行的。攻擊者利用這個網站漏洞批量的進行上傳,對網站的快照進行劫持,收錄一些非法違規的內容URL。

如何判斷該網站使用的是Kindeditor編輯器呢?

1.kindeditor/asp/upload_json.asp?dir=file

2.kindeditor/asp.net/upload_json.ashx?dir=file

3.kindeditor/jsp/upload_json.jsp?dir=file

4.kindeditor/php/upload_json.php?dir=file

還有一個可以上傳Webshell的漏洞,可以將asp,php等腳本文件直接上傳到網站的目錄下,利用方式首先上傳一個圖片,然后打開文件管理找到我們剛才上傳的圖片名字,點擊改名這里,我們用火狐瀏覽器進行查看元素,找到form表單,將后綴名為JPG的改成PHP,然后點擊修改,就可以導致圖片文件被改成腳本執行了。

Kindeditor網站漏洞修復方案以及辦法

該漏洞影響范圍較廣,攻擊較多,一般都是公司企業網站以及政府事業單位,攻擊者利用上傳漏洞對其上傳一些菠菜賭博棋牌等內容的html文件來進行百度快照的劫持,建議將上傳功能進行刪除,或者對代碼里的上傳格式進行限制,去掉html,htm的上傳權限,只允許上傳圖片格式以及word文本。如果對網站代碼不是太熟悉的話,可以找專業的安全公司來處理,國內也就Sinesafe公司和綠盟、啟明星辰、深信服等網站安全公司比較專業。

相關閱讀

動態網站相關概念

C/S體系結構:Client/Server 客戶機/服務器結構B/S體系結構:Browser/Server 瀏覽器/服務器結構URL:Universal Resource Locator 統一

網站推廣之怎樣寫出好的軟文

seo優化其中的一項就是做寫原創文章,有利于提高搜索引擎抓取,增加網站權重。軟文撰寫也是很有講究的,是seo工作的一個重要的組成部分

怎樣的營銷型網站才能滿足企業網絡營銷需求

隨著互聯網的發展,企業對網絡營銷的需求也越來越旺盛,而在此基礎之上,營銷型網站建設也就成為了企業的一項必要工作。通過營銷型網站

2015中國地方社區網站高峰論壇9月23日在南京成功舉行

9月18日,由A5站長網和南京魔蘋科技公司聯合主辦聯合主辦的“2015中國地方社區網站高峰論壇”在南京蘇寧威尼斯酒店舉行,

雅虎宣布將關閉雅虎群組網站刪除所有內容

最近,雅虎對外發布公告宣布,將在近期關閉旗下的"雅虎群組網站"。從10月21日起,用戶將不能再向雅虎群組網站發布新內容;到12月14日,以

分享到:

欄目導航

推薦閱讀

熱門閱讀

17321期胆码王孑计划