有的网站会嵌入第三方编辑器,若该编辑器存在安全漏洞(此处只讨论上传漏洞),便可上传webshell 测试思路: 根据编辑器名称、版本找历史漏洞(因为自己挖很难,大佬除外) 1、常用编辑器 ueditor fckeditor ewebeditor ckeditor kineditor 2、常见位置 会员中心 后台编辑器 简历编写 …