如何检查并堵住网站的eWebEditor漏洞
来源:互联网 发布:菲律宾南海知乎 编辑:程序博客网 时间:2024/04/29 12:48
一、判断网站是否使用了eWebEditor的简单方法:查看程序源代码,看看源码中是否存在类似“ewebeditor.asp?id=”语句,只要有此语句的存在,就能判断网站确实使用了WEB编辑器。
二、该WEB编辑器可能被黑客利用攻击的安全漏洞:
(1)管理员未对编辑器的数据库路径和名称进行修改,导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。
(2)管理员未对编辑器的用户登录路径进行修改,导致黑客可以利用网站数据库所获得的用户名和密码直接登陆编辑器管理后台。
(3)该WEB编辑器上传程序存在的安全漏洞:
请看Upload.asp文件,程序中有这么一段表达式:
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")任何情况下都不允许上传asp脚本文件
但该语句仅过滤了ASP文件,未同时过滤ASA、CER等文件。上述两类文件同样可以构成ASP程序后门程序。黑客还能利用在上传程序类型中增加“aaspsp”来绕过此方法对扩展名的过滤,根据该语句的过滤规则,“aaspsp”过滤了“asp”字符后,反而变成了“asp”,这种类似的漏洞利用方法也可以运用在动网论坛7.0 sp2中。
总结
面对此种威胁网站管理员应该做好如下的防范措施:
1、使用了eWebEditor编辑器的网站,应及时修改该编辑器的默认数据库路径和后缀名,防止数据库被黑客非法下载
2、修改编辑器后台登陆路径和默认的登陆用户名和密码,防止黑客进入后台管理界面
3、对Upload.asp语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限
4、及时对网站服务器IIS配置中的应用程序扩展名映射进行整理,确保其它类型的文件不能在服务器网站上运行。
- 如何检查并堵住网站的eWebEditor漏洞
- Python网站的漏洞如何检查?
- 堵住ASP漏洞(转来的)
- Ewebeditor 的一些漏洞总结
- 利用ewebeditor漏洞来攻击网站
- eWebEditor漏洞
- eWebEditor漏洞
- ewebeditor漏洞
- ewebeditor漏洞,ewebeditor漏洞攻击
- 堵住ASP漏洞
- 18.堵住ASP漏洞
- 堵住ASP漏洞
- ewebeditor的上传结合IIS解析漏洞
- 系统安全之堵住日常操作易泄密的漏洞
- PHP网站渗透中的奇技淫巧:检查相等时的漏洞
- LISP 8.7.2 堵住漏洞2——修复变量名的漏洞
- 内存漏洞的检查
- 企业如何自行检查漏洞?
- 8.2.2 追加字符串
- 对面(OOP)理解判断准则
- 欢迎加入大庆技术联盟
- eWebEditor漏洞 [转]
- C
- 如何检查并堵住网站的eWebEditor漏洞
- java排序(转)
- @Page中的注意事项
- .NET Framework 3.5 版中的新增功能(4)[整理]
- Microsoft程序员测试题
- 修改数据库结构时的注意事项
- 8.2.1 StringBuilder类和对象
- embed 基本语法(配置网页播放器)
- 国外Web 2.0站点一览