很多建站公司都在使用Kindeditor開源的圖片上傳系統(tǒng)��,該上傳系統(tǒng)是可視化的�����,采用的開發(fā)語言支持asp�、aspx�����、php����、jsp,幾乎支持了所有的網(wǎng)站可以使用他們的上傳系統(tǒng),對(duì)瀏覽器的兼容以及手機(jī)端也是比較不錯(cuò)的���,用戶使用以及編輯上傳方面得到了很多用戶的喜歡����。
前端時(shí)間我們SINE安全對(duì)其進(jìn)行全面的網(wǎng)站漏洞檢測(cè)的時(shí)候發(fā)現(xiàn)�����,Kindeditor存在嚴(yán)重的上傳漏洞�,很多公司網(wǎng)站,以及事業(yè)單位的網(wǎng)站都被上傳違規(guī)內(nèi)容�,包括一些賭博的內(nèi)容,從我們的安全監(jiān)測(cè)平臺(tái)發(fā)現(xiàn)�,2019年3月份���,4月份,5月份���,利用Kindeditor漏洞進(jìn)行網(wǎng)站攻擊的情況����,日益嚴(yán)重��,有些網(wǎng)站還被阿里云攔截���,并提示該網(wǎng)站內(nèi)容被禁止訪問���,關(guān)于該網(wǎng)站漏洞的詳情,我們來看下�����。
很多被攻擊的網(wǎng)站的后臺(tái)使用的是Kindeditor編輯器并使用upliad_json組件來進(jìn)行上傳圖片以及文檔等文件����,目前存在漏洞的版本是Kindeditor 4.1.5以下,漏洞發(fā)生的代碼文件是在upload_json.php代碼里��,該代碼并沒有對(duì)用戶上傳的文件格式,以及大小進(jìn)行安全檢測(cè)�����,導(dǎo)致用戶可以偽造惡意文件進(jìn)行上傳��,尤其html文件可以直接上傳到網(wǎng)站的目錄下����,直接讓搜索引擎抓取并收錄����。
我們來復(fù)現(xiàn)這個(gè)Kindeditor上傳漏洞,首先使用的是Linux centos系統(tǒng)�,數(shù)據(jù)庫采用的是MySQL5.6,PHP版本使用的是5.4�����,我們將Kindeditor 4.1.5的源碼拷貝到剛搭建的服務(wù)器里去���,我們進(jìn)行訪問http://127.0.0.1/Kindeditor/php/demo.php截圖如下:
打開上傳頁面后�����,我們可以發(fā)現(xiàn)上傳的文件格式默認(rèn)都是支持htm,html的包括我們上傳的html使用XSS跨站攻擊腳本代碼都是可以執(zhí)行的���。攻擊者利用這個(gè)網(wǎng)站漏洞批量的進(jìn)行上傳�,對(duì)網(wǎng)站的快照進(jìn)行劫持���,收錄一些非法違規(guī)的內(nèi)容URL�。
如何判斷該網(wǎng)站使用的是Kindeditor編輯器呢���?
1.kindeditor/asp/upload_json.asp?dir=file
2.kindeditor/asp.net/upload_json.ashx?dir=file
3.kindeditor/jsp/upload_json.jsp?dir=file
4.kindeditor/php/upload_json.php?dir=file
還有一個(gè)可以上傳Webshell的漏洞�,可以將asp,php等腳本文件直接上傳到網(wǎng)站的目錄下��,利用方式首先上傳一個(gè)圖片���,然后打開文件管理找到我們剛才上傳的圖片名字����,點(diǎn)擊改名這里�����,我們用火狐瀏覽器進(jìn)行查看元素���,找到FORM表單�,將后綴名為JPG的改成PHP,然后點(diǎn)擊修改,就可以導(dǎo)致圖片文件被改成腳本執(zhí)行了����。
Kindeditor網(wǎng)站漏洞修復(fù)方案以及辦法
該漏洞影響范圍較廣,攻擊較多���,一般都是公司企業(yè)網(wǎng)站以及政府事業(yè)單位,攻擊者利用上傳漏洞對(duì)其上傳一些菠菜賭博棋牌等內(nèi)容的html文件來進(jìn)行百度快照的劫持����,建議將上傳功能進(jìn)行刪除,或者對(duì)代碼里的上傳格式進(jìn)行限制����,去掉html,htm的上傳權(quán)限,只允許上傳圖片格式以及word文本��。如果對(duì)網(wǎng)站代碼不是太熟悉的話�,可以找專業(yè)的安全公司來處理,國內(nèi)也就Sinesafe公司和綠盟�����、啟明星辰、深信服等網(wǎng)站安全公司比較專業(yè)����。
全國熱線:0512-65622224 
咨詢我們
蘇公網(wǎng)安備32050602013336
公司新聞
微信/小程序
建站知識(shí)
網(wǎng)站優(yōu)化
app開發(fā)知識(shí)
當(dāng)前位置:
