又发现一个漏洞,今天跟大伙儿说说这个事儿。前两天我手头上有个项目用到Kindeditor这个编辑器,结果,安全监控那边就发出警告,说是存在上传漏洞,可能会被人在网站里头塞进一些乱七八糟的广告页面。
你说这年头,网络安全问题真是不容小觑!我当时一听这消息,心里咯噔一下,这可咋整?赶紧查查相关的资料,还真不是闹着玩的。
事件起因
我这项目不是要用到一个在线编辑器嘛我就琢磨着找个好用点的。当时看Kindeditor挺多人用的,而且功能看着也挺全乎,支持什么所见即所得编辑,还兼容各种浏览器,像是IE、Firefox、Chrome啥的,用起来也挺方便,就这么定下来用它。
排查过程
谁能想到,刚用上没多久,就出这档子事。我赶紧顺着安全警告给的信息,去排查问题。原来问题出在这个编辑器的上传功能上,具体来说,是一个叫upload_json.的上传功能,允许被直接调用,这就给坏人可乘之机,他们能上传htm、html、txt这类文件到服务器上,然后搞一些乱七八糟的东西。
当时我还发现一个叫的页面,也是跟文件上传有关的。我心想这下麻烦,得赶紧想办法补救。我就在网上到处搜解决办法,还真发现不少跟我遇到同样问题的网站,心里顿时感觉不妙。
确认及解决
- 我先是把那个编辑器版本号查一下,发现我用的这个版本刚好是小于等于4.1.5的,正好在漏洞影响范围内,这下心里更有谱,得赶紧升级才行。
- 然后,我就开始动手操作,先是把网站上的编辑器相关文件都备份一下,以防万一嘛
- 接着我就去下载最新版本的Kindeditor,替换掉旧版本的文件。
- 替换完之后,我把各种上传功能都试一遍,确保没有问题,这才松一口气。
这事儿虽然有点惊险,但好在发现得及时,处理得也还算顺利。也提醒大家,平时用这些开源组件的时候,一定要多留个心眼,关注一下安全更新,别像我这样,差点就中招。说真的,这玩意儿要是被用来上传什么乱七八糟的链接,那可就麻烦大。以后,可得长点心!
免责声明:由于无法甄别是否为投稿用户创作以及文章的准确性,本站尊重并保护知识产权,根据《信息网络传播权保护条例》,如我们转载的作品侵犯了您的权利,请您通知我们,请将本侵权页面网址发送邮件到qingge@88.com,深感抱歉,我们会做删除处理。