百度编辑器安全漏洞及其防护措施

跟老赵头儿学开发之十四 : 百度编辑器安全漏洞及其防护措施

百度编辑器UEditor 是一套开源的在线html编辑器，它是由百度web前端研发部开发的所见即所得的富文本web编辑器，开发人员可以用 UEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本框。

UEditor既可以录入文本也可以上传图片，还可以支持自定义的html编写，支持电脑端及移动端，自适应页面，图片也可以自动适应当前的上传路径与页面比例大小，还支持一些视频文件的上传。

UEditor具有轻量，可定制，注重用户体验，开源基于MIT协议，允许自由使用和修改代码等的特点。因其开源，高效，稳定，安全，一直深受站长们的喜欢。

但其当前最高版本UEditor 1.4.3.3却有一个致命的安全漏洞，即可绕过文件格式的限制，实现任意文件的上传。具体说就是因其在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断，攻击者可以上传包括脚本执行文件（aspx脚本木马，asp脚本木马，php脚本木马等）在内的任意文件，甚至还可以利用该漏洞对服务器进行攻击，执行系统命令破坏服务器，因此漏洞危害严重性较高。

一、漏洞分析。

先建立一个html文档，内容如下：

地址:

这段代码的作用就是利用UEditor抓取远程文件功能，把“网站2”的123.jpg这个图片文件上传到网站1的UEditor指定的上传目录中去，上传成功后，页面上会显示出上传成功的图片Url地址，那么攻击者就可以用Url地址访问这个图片文件,现在你的网站就成了攻击者的图片库了。

危害远不止这些，如果我们把这个远程链接的图片文件换成一个图片脚本木马，比如典型的一句话图片小马，那么我们上传到服务器中的就不是一个简单的图片文件了，而是脚本木马文件，它的扩展名可以是.aspx、.asp、.php等，这样，攻击者就可以远程运行这些脚本文件来达到其非正常的目的。

二、漏洞防护。

目前百度官方并没有给出补丁，那么防护工作就只能靠我们自己了。

1、取消上传目录的脚本执行权限。

1）、在IIS中，选择文件上传目录名称，双击“处理程序映射”，在最右侧窗口选择“编辑功能权限”，在出现的对话框中只勾选“读取”。

这样会在这个upload上传文件夹目录中产生一个Web.config文件：

重启动整个IIS或此站点即可生效。

2）、如果是apache则在站点的配置文件中加入：

Order Deny,Allow    #Deny和Allow的先后顺序

Deny from all       #禁止所有

3）、如果是nginx则在站点配置文件中加入：

location/upload/ {

location ~ .*\.(php)?$ {

deny all;
}
}

2、关闭UEditor抓取远程文件功能

1）、在net版中首先编辑ueditor.config.js文件，搜索到以下这句：

//,catchRemoteImageEnable: true //设置是否抓取远程图片

并在下方加入一句：

,catchRemoteImageEnable:false

这样更改后，攻击者上传图片时会出现“远程服务器返回错误: (404) 未找到。”的提示。也就是已经可以阻止攻击者上传了，但我们还可以再进一步防护，我们再找到net目录中的controller.ashx，找到如下关于抓取远程文件的内容：

case"catchimage":

action = new CrawlerHandler(context);

break;

把它改成：

case "catchimage":

action = new NotSupportedHandler(context);

break;

或者干脆去掉这三句，这时对攻击者的提示就成了：

{"state":"action参数为空或者 action 不被支持。"}

2）、在php版中，更改方法基本与net版相同，只是第二个要改的文件是php目录中的controller.php，我们要改的内容是：

/*抓取远程文件 */

case'catchimage':

$result =include("action_crawler.php");

break;

应该改成：

/*抓取远程文件 */

case 'catchimage':

$result = "";

break;

3）、asp版的更改方法同net版基本相同，而jsp版在更改时，第二个要改的文件是jsp/src/com/baidu/uedito/ConfigManager.java，按照前面的方法去掉或更改如下内容：

caseActionMap.CATCH_IMAGE:

conf.put("filename", ConfigManager.REMOTE_FILE_NAME );

conf.put("filter", this.getArray( "catcherLocalDomain" ) );

conf.put("maxSize", this.jsonConfig.getLong( "catcherMaxSize" ) );

conf.put("allowFiles", this.getArray( "catcherAllowFiles" ) );

conf.put("fieldName", this.jsonConfig.getString( "catcherFieldName") + "[]" );

savePath= this.jsonConfig.getString( "catcherPathFormat" );

break;

当然这样防护是以牺牲抓取远程文件的功能为代价的，但对于被利用与攻击来讲，还是非常值得的。