kindeditor漏洞
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>>
2月21日消息,近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了 KindEditor 编辑器组件。
本次安全事件主要由 upload_json.* 上传功能文件允许被直接调用从而实现上传 htm,html,txt 等文件到服务器,在实际已监测到的安全事件案例中,上传的 htm,html 文件中存在包含跳转到违法色情网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。
根据对 GitHub 代码版本测试,<= 4.1.11 的版本上都存在上传漏洞,即默认有 upload_json.* 文件保留,但在 4.1.12 版本中该文件已经改名处理了,改成了 upload_json.*.txt 和 file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。
本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。
安全运营方面建议:直接删除 upload_json.* 和 file_manager_json.* 即可。
安全开发生命周期(SDL)建议:KindEditor 编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。
来自:雷锋网
相关阅读
问题:为什么淘宝助理上传后出现乱码? 装修宅回答:1、是因为用户的宝贝描述是在word文档中复制后,粘贴到助理的宝贝描述中的。问题的根
采源宝是微商们再熟悉不过的一款APP了,供货商们只需要将自己的商品图片或者视频信息上传到采源宝,就会有微商代理来下单我们的商品,
http上传/下载文件时,Content-Disposition的使用
Content-disposition是 MIME 协议的扩展,MIME 协议指示 MIME 用户代理如何显示附加的文件。当 Internet Explorer 接收到头时,它会
<input type="file id=“file1” name=“file” οnchange="ajaxFileUpload(“要上传图片的区域”)” />function ajaxFileUploa
ajaxfileupload.js异步上传文件插件(完整demo)
ajaxfileupload.js异步上传文件插件 HTML: <input type="file" accept="image/gif,image/jpeg,image/jpg,image/png,image/svg"