网站编辑器安全隐患不可小视

代码笔记   2014-12-04 17:25:51

    现在免费的网页编辑器一大堆,老掉牙的eWebEditor,还有百度编辑器ueditor,kindeditor,xheditor,CKEditor,Fckeditor等这些知名的编辑器。在线编辑排版文章内容的时候它们起了不小的作用,殊不知它们很多编辑器从观望下载下来的时候是自带不安全因素的,你最好在用之前把他处理下。
1、编辑器自身带数据库带后台,能高级管理操作。典型例子就是eWebEditor,下载到的最新版也都是好多年前更新的了。他自带数据库和管理后台,他的出发点和想发是好的,想帮助完全不懂编辑器的人能在线操作就完成编辑器的配置,可是它们没注重到安全,经常有客户因为编辑器默认的管理账号密码没改被黑的。

2、编辑器太久官方没有更新,有漏洞没人补,技术跟不上,典型的例子又是eWebEditor,eWebEditor不止安全性能差,让人更受不了的是这浏览器就只能在IE8以下上跑跑了 高了你会疯的。换别的浏览器吧。
3、大家现在建站用cms的很多,cms的漏洞都有通行,一个有另外一个在不修补的情况下肯定也有,小黑客都是在已知CMS的漏洞前提下,然后对你网站进行猜测核对来黑你的站。编辑器也是一样。
从下图可以看出 黑客是在猜你这网站的编辑器是否是kindeditor 是否是ewebeditor,然后对应目录是否有对应文件,如果有他就可以进行下一步了。

4、意见建议:
4.1尽量选择更新比较勤快的,比如百度编辑器,kindeditor
4.2编辑器下载后一定要记得改路径名称,不要他默认是啥你就啥,这样你不被黑才怪。如果改名字了,象上图那样靠猜测来黑你网站的这一条路就给黑客关闭了。
4.3编辑器内只保留必须要用的,不用的,用不到的一律删除。少一个文件就少一份风险
4.4有些编辑器默认的上传路径是保留在编辑器内部的,这个路径你一定得改到编辑器外面去,否则别人一看你上传的图片或者文件一下就知道你的编辑器在哪里了。比如kindeditor,比如网站目录是wwwroot,编辑器的路径/wwwroot/kindeditor/, 那么他默认的路径就是在/wwwroot/kindeditor/attached/下的,这就须要你修改编辑器的配置文件,让他的上传文件路径能到根目录下例如: /wwwroot/attached/,当然这里的attached这个目录你是可以改名的,比如改成uploadfiles什么的,那随你的兴趣爱好.

大家可以看看下图分析分析下就知道哪些地方最好能改改了.
打赏