今天看到一个跟富文本编辑器相关的帖子。
很多人做网站,都会有内容提交相关,这时候,富文本编辑器也就非常必要了。今天我要提的一点,就是关于文件上传功能,可能是个系统弱点。
去年的4月份,我的网站博客数据库,遇到了一次脱库事件(脱库释义:数据库被黑客拿走),详见《公告:openGPS.cn于2019.4.6号遭遇一次SQL攻击》
事件的过程我也做了分析,是几个弱点的组合,其中,攻击步骤中,包含了允许公开上传一项。
虽然上次的事件中,上传文件并不是通过本站的富文本编辑器导致。实际上,从那次事件之后,我留意到一个问题,就是从后端的访问日志中可以发现,来自公网的扫描器,扫描路径就包含了几个比较常见的富文本编辑器的上传入口地址。从那时起,我才理解到上传入口的安全问题。
来自第三方的富文本编辑器,毕竟是个独立模块,所以对于大部分人来说,都是简单对接就开始使用,往往没有深度的去防护,文件上传入口往往是“非登录状态要求的”。这就意味着,匿名访客就可以使用该路径进行渗透操作。当然,单纯的一步上传,只能让文件进入,未必能让文件运行,运行文件用到的会是其他的步骤,本文不做进一步展开解释。
原文地址:
https://www.opengps.cn/Blog/View.aspx?id=817
文章的更新编辑依此链接为准。欢迎关注源站原创文章!