網(wǎng)站編輯器安全隱患不可小視
來源:程序員人生 發(fā)布時間:2015-08-12 08:00:26 閱讀次數(shù):3873次
現(xiàn)在免費的網(wǎng)頁編輯器1大堆,老掉牙的eWebEditor,還有百度編輯器ueditor,kindeditor,xheditor,CKEditor,F(xiàn)ckeditor等這些知名的編輯器。在線編輯排版文章內(nèi)容的時候它們起了不小的作用,卻不知它們很多編輯器從觀望下載下來的時候是自帶不安全因素的,你最好在用之前把他處理下。
1、編輯器本身帶數(shù)據(jù)庫帶后臺,能高級管理操作。典型例子就是eWebEditor,下載到的最新版也都是好多年前更新的了。他自帶數(shù)據(jù)庫和管理后臺,他的動身點和想發(fā)是好的,想幫助完全不懂編輯器的人能在線操作就完成編輯器的配置,可是它們沒重視到安全,常常有客戶由于編輯器默許的管理賬號密碼沒改被黑的。
2、編輯器太久官方?jīng)]有更新,有漏洞沒人補,技術(shù)跟不上,典型的例子又是eWebEditor,eWebEditor不止安全性能差,讓人更受不了的是這閱讀器就只能在IE8以下上跑跑了 高了你會瘋的。換別的閱讀器吧。
3、大家現(xiàn)在建站用cms
的很多,cms
的漏洞都有通行,1個有另外1個在不修補的情況下肯定也有,小黑客都是在已知CMS的漏洞條件下,然后對你網(wǎng)站進行猜想核對來黑你的站。編輯器也是1樣。
從下圖可以看出 黑客是在猜你這網(wǎng)站的編輯器是不是是kindeditor 是不是是ewebeditor,然后對應(yīng)目錄是不是有對應(yīng)文件,如果有他就能夠進行下1步了。
4、意見建議:
4.1盡可能選擇更新比較勤勞的,比如百度編輯器,kindeditor
4.2編輯器下載后1定要記得改路徑名稱,不要他默許是啥你就啥,這樣你不被黑才怪。如果改名字了,象上圖那樣靠猜想來黑你網(wǎng)站的這1條路就給黑客關(guān)閉了。
4.3編輯器內(nèi)只保存必須要用的,不用的,用不到的1律刪除。少1個文件就少1份風(fēng)險
4.4有些編輯器默許的上傳路徑是保存在編輯器內(nèi)部的,這個路徑你1定得改到編輯器外面去,否則他人1看你上傳的圖片或文件1下就知道你的編輯器在哪里了。比如kindeditor,比如網(wǎng)站目錄是wwwroot,編輯器的路徑/wwwroot/kindeditor/, 那末他默許的路徑就是在/wwwroot/kindeditor/attached/下的,這就須要你修改編輯器的配置文件,讓他的上傳文件路徑能到根目錄下例如:
/wwwroot/attached/,固然這里的attached這個目錄你是可以改名的,比如改成uploadfiles甚么的,那隨你的興趣愛好.
大家可以看看下圖分析分析下就知道哪些地方最好能改改了.
生活不易,碼農(nóng)辛苦
如果您覺得本網(wǎng)站對您的學(xué)習(xí)有所幫助,可以手機掃描二維碼進行捐贈
------分隔線----------------------------
------分隔線----------------------------
