防止黑客利用FCKeditor进行入侵

最新推荐文章于 2024-09-25 11:43:44 发布
最新推荐文章于 2024-09-25 11:43:44 发布
阅读量562 收藏
点赞数
分类专栏: 网络安全 文章标签: fckeditor 测试 session asp 电话 工作

今天,有个网站客户打电话说他们网站打不开了,我赶紧去看一下,竟然程序报错,我看了一下网 站 程序,多了一个回车,很奇怪。把回车删除后就正常了,客户网站一直是正常的啊,怎么页面被改了呢?难道被黑了?
不过这个小黑估计是初入行,卫生打扫的不干净(我在这方面是老鸟了,嘿嘿),先看文件有没有增加,检查发现多了一个conns.asp文件,是3月19日 更新的,一看就是刚上传的后台木马,先换个名字自己运行一下看看(业余喜欢研究木马,这样才能做好防御工作啊),还好这个木马比较弱,不能跨域操作,这垃 圾木马还是删了吧,就全盘搜索,就搜出来两个,都删了。
      接下来看日志,得找到小黑入手的地方啊,看哪天的日志?当然看19日的了啊,很快就发现是利用FCKeditor的测试页面进行的上传入侵,找到入口了就 好办了,先把这几个测试文件删除,然后给里面的asp文件加上session、cookie验证,把文件夹名字改一下,这下安全多了,当然还不够安全,还 要多FCKeditor的上传类型那里要加固一下。

gjpdeyx
关注
专栏目录
fckeditor 防止上传非法文件 增加登录判断
10-28
此外,内容中还提出了将fckeditor目录改名的建议,这样的做法有助于隐藏原有的编辑器目录,从而减少被攻击者利用的可能性。通过改变默认目录名称,增加了攻击者猜测目录结构的难度,是一种常见的安全防护手段。 ...
Fckeditor漏洞总结及其***某服务器
weixin_34248849的博客
05-18 1322
1.1Fckeditor漏洞总结及其***某服务器   有些漏洞看起来简单,级别比较低,不如SQL注入等漏洞来的直接,但在条件合适的情况下,小漏洞发挥大作用,一直以来都想做一个Fckeditor漏洞总结,免得每次遇到目标都需要重新搜索,浪费时间。1.1.1FCKeditor编辑器漏洞利用总结1.判断fckeditor版本通过/fckeditor/editor/dialog/fck_about.ht...
FCKEditor曝高危漏洞 360首发临时解决方案
bulebirds的专栏
04-24 846
近日,国外漏洞平台exploit-db曝光FCKEditor 最新版(2.6.8 Asp版)存在任意文件上传高危漏洞(漏洞详情:http://www.exploit-db.com/exploits/23005/ ),黑客借助该漏洞能够直接上传木马、后门程序并控制服务器,最终造成网站数据被窃等严重后果。360网站安全检测发现,国内大量使用FCKEditor的网站都存在这一漏洞。 360网站安全检测
Fckeditor(综合利用工具)
01-11
8. **安全性和稳定性**:Fckeditor对上传的文件进行检查,防止恶意代码的注入,同时其稳定的性能确保了长时间使用的顺畅。 9. **API接口**:Fckeditor提供了详细的API文档,开发者可以通过调用API来控制编辑器的...
利用FCKEditor作为邮件内容编辑器
03-16
标题中的“利用FCKEditor作为邮件内容编辑器”是指在Web应用中,使用FCKEditor这一富文本编辑器来创建和编辑电子邮件的内容。FCKEditor是一款开源的在线文本编辑器,它提供了类似Microsoft Word的界面,让用户可以在...
Fckeditor与Dorado进行结合
11-01
Fckeditor与Dorado进行结合Fckeditor与Dorado进行结合
软件测试实验室多体系并行情况下如何编写质量管理体系文件
daopuyun的博客
09-23 398
很多软件测试实验室在计划申请CNAS或CMA资质前已经有在运行的质量管理制度,也有不少软件测试实验室计划同时申请不同的资质,很容易出现管理体系内容交叉重复、协同不够、表述不一等问题。这些并行的管理体系如何做好科学、统一的管理是我们在资质申请前需要明确的。
Spring Boot 进阶- Spring Boot入门程序详解
初学者
09-25 1033
在之前的项目中我们看到在resource目录中有一个application.properties的文件,现在我们习惯使用application.yml配置文件,其实二者所实现的效果是一样的。在Spring Boot中为开发者提供了很多的场景启动器,并且这些启动器的配置信息并不是在内部写死的,例如配置数据库、配置中间件、配置服务的端口号这些内容。在Spring Boot中统一使用了Properties类对这些配置进行了抽象。在Spring启动的时候可以通过对应的配置前缀进行读取相应的配置值。
JPA+Thymeleaf增删改查
y050505的博客
09-25 337
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
外包干了5天,技术明显退步。。。。。
YJT1002的博客
09-24 3436
​先说一下自己的情况,本科生,21年通过校招进入南京某软件公司,干了接近2年的功能测试,今年年初,感觉自己不能够在这样下去了,长时间呆在一个舒适的环境会让一个人堕落!而我已经在一个企业干了2年的功能测试,已经让我变得不思进取,原本打算结婚的女朋友也因为我的心态和工资和我分手了。于是,我决定要改变现状,冲击下大厂。 ​
聊一聊冒烟测试的重要性
奇峰卧虎
09-23 333
实施冒烟测试是软件开发和测试过程中不可或缺的一步,它有助于快速验证关键功能、减少时间和成本、确保测试的继续进行、增强信心和效率、促进团队合作以及作为版本发布的门槛。测试从业人员,对“冒烟测试”关键字比较熟悉,实施冒烟测试的时间节点以及冒烟测试的重要性需要注意哪些呢,值得每一个从业者去思考。如果核心功能存在问题,核心流程出现阻塞,那么继续进行详细的测试可能是徒劳的,因为这些问题可能会影响到测试结果的准确性和有效性。成功的冒烟测试可以增强团队成员对软件质量的信心,使他们能够更专注于后续的详细测试工作
CNAS软件测试实验室能力验证全流程介绍
daopuyun的博客
09-24 607
能力验证计划的主要环节有:及时关注“中国合格评定国家认可委员会”或资质认定部门发布的能力验证计划,可以包括《CNAS-RL02 能力验证规则》承认的其他能力验证计划,根据需要纳入或补充调整年度质量控制计划,质量控制计划需通过质量负责人审核,实验室负责人批准。选择合适的能力验证活动,登陆能力验证活动举办方的网址,提出参加能力验证的申请,根据要求提交报名表格、签订合同,缴纳相关费用,确认能力验证的方式、时间、地点、环境、人员资质、设备以及过程等方面的要求。,在网站的右下角点击“中国能力验证资源平台”
对网页聊天项目进行性能测试, 使用JMeter对于基于WebSocket开发的webChat项目的聊天功能进行测试
s13057696399的博客
09-22 739
需要注意发送的json格式需要正确, 对照接口文档, 我这里发短信需要双方互为好友才能发,所以用的数据都加了3号用户, 内容就是一些测试数据。最后所有文件都在下面gitee里,包括项目代码, Selenium自动化测试代码, jmeter性能测试测试文件, 性能测试报告(网页版)这里csv文件就是使用xlsx保存数据, 然后在浏览器找个网址转成csv文件。是生成性能报告的地址 log1文件, log1可以不存在,如果存在必须为空。还有一些其他的我就不解释了, 后面放到gitee。(数据不对就测试不了了)
软件测试APP测试过程中的关键步骤、工具使用及常见问题处理方法。
probably121的博客
09-22 806
软件测试APP测试过程中的关键步骤包括单元测试、集成测试、系统测试、验收测试、回归测试、性能测试、用户体验测试、安全测试和兼容性测试等。同时,需要注意缺陷跟踪与管理、弱网络测试、耗电量测试、协议测试和服务器性能测试等问题的处理方法。集成测试:集成测试是在单元测试的基础上,将所有模块按照总体设计的要求组装起来进行测试。通过模拟实际使用场景,性能测试可以发现潜在的性能瓶颈和问题。用户体验测试:用户体验测试关注软件的用户界面和交互设计,通过邀请真实用户参与测试,收集用户反馈,以提升软件的易用性和用户体验。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-18 3204
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
自动化测试框架集成:将Selenium集成到pytest与unittest中
这家伙很懒,什么都没有留下
09-25 880
Selenium是一个用于Web应用程序自动化测试的工具集,它直接运行在浏览器中,模拟用户的操作行为,如点击、输入、导航等。Selenium支持多种浏览器和平台,包括Chrome、Firefox、Edge、Safari等,且支持多种编程语言,如Java、Python、C#等。Selenium IDE:一个用于记录、编辑和调试测试用例的图形界面工具。Selenium WebDriver:提供了一套API,允许开发者编写代码来控制浏览器。
软件测试中的异常测试流程,包括异常测试的目的、常见方法及具体步骤。
probably121的博客
09-21 432
异常测试是软件测试中不可或缺的一环,它可以帮助开发团队及时发现并修复系统中的潜在问题,提高软件的质量和稳定性。异常测试的主要目的是验证系统在面对不符合预期的操作或输入时,能否妥善处理异常情况,确保系统的稳定性和健壮性。通过异常测试,可以发现系统中的潜在问题和漏洞,提高软件的质量和可靠性。5. 评审测试用例:邀请开发、测试、产品等团队成员对测试用例进行评审,确保测试用例的合理性和全面性。3. 编写测试计划:根据最终确定的需求文档编写详细的测试计划,明确测试目标、范围和方法。
计算机毕业设计之:基于uni-app的校园活动信息共享系统设计与实现(三端开发,安卓前端+网站前端+网站后端)
程序员阿龙的博客
09-22 2959
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
【人工智能】先导学习笔记
最新发布
qq_32765617的博客
09-25 249
熟练使用Python、c语言及其相关库和工具。良好的统计和线性代数基础。了解OpenCV、TensorFlow、PyTorch等库的使用。
FCKeditor与IIS6漏洞:利用与修复解析
尽管CKeditor在安全性上进行了改进,但旧版本的FCKeditor仍然有可能存在可被利用的漏洞。 其中一个常见的漏洞是上传漏洞。攻击者可以通过寻找在线使用FCKeditor的网站,特别是那些未正确配置或更新的站点,来利用这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值