网站编辑器安全隐患不可小视
栏目:互联网时间:2015-08-12 08:00:26
现在免费的网页编辑器1大堆,老掉牙的eWebEditor,还有百度编辑器ueditor,kindeditor,xheditor,CKEditor,Fckeditor等这些知名的编辑器。在线编辑排版文章内容的时候它们起了不小的作用,却不知它们很多编辑器从观望下载下来的时候是自带不安全因素的,你最好在用之前把他处理下。
1、编辑器本身带数据库带后台,能高级管理操作。典型例子就是eWebEditor,下载到的最新版也都是好多年前更新的了。他自带数据库和管理后台,他的动身点和想发是好的,想帮助完全不懂编辑器的人能在线操作就完成编辑器的配置,可是它们没重视到安全,常常有客户由于编辑器默许的管理账号密码没改被黑的。
2、编辑器太久官方没有更新,有漏洞没人补,技术跟不上,典型的例子又是eWebEditor,eWebEditor不止安全性能差,让人更受不了的是这阅读器就只能在IE8以下上跑跑了 高了你会疯的。换别的阅读器吧。
3、大家现在建站用cms
的很多,cms
的漏洞都有通行,1个有另外1个在不修补的情况下肯定也有,小黑客都是在已知CMS的漏洞条件下,然后对你网站进行猜想核对来黑你的站。编辑器也是1样。
从下图可以看出 黑客是在猜你这网站的编辑器是不是是kindeditor 是不是是ewebeditor,然后对应目录是不是有对应文件,如果有他就能够进行下1步了。
4、意见建议:
4.1尽可能选择更新比较勤劳的,比如百度编辑器,kindeditor
4.2编辑器下载后1定要记得改路径名称,不要他默许是啥你就啥,这样你不被黑才怪。如果改名字了,象上图那样靠猜想来黑你网站的这1条路就给黑客关闭了。
4.3编辑器内只保存必须要用的,不用的,用不到的1律删除。少1个文件就少1份风险
4.4有些编辑器默许的上传路径是保存在编辑器内部的,这个路径你1定得改到编辑器外面去,否则他人1看你上传的图片或文件1下就知道你的编辑器在哪里了。比如kindeditor,比如网站目录是wwwroot,编辑器的路径/wwwroot/kindeditor/, 那末他默许的路径就是在/wwwroot/kindeditor/attached/下的,这就须要你修改编辑器的配置文件,让他的上传文件路径能到根目录下例如:
/wwwroot/attached/,固然这里的attached这个目录你是可以改名的,比如改成uploadfiles甚么的,那随你的兴趣爱好.
大家可以看看下图分析分析下就知道哪些地方最好能改改了.
------分隔线----------------------------
------分隔线----------------------------