网站被提示该网站内容被禁止访问-阿里云开发者社区

开发者社区> 网站安全> 正文

网站被提示该网站内容被禁止访问

简介: 很多建站公司都在使用Kindeditor开源的图片上传系统,该上传系统是可视化的,采用的开发语言支持asp、aspx、php、jsp,几乎支持了所有的网站可以使用他们的上传系统,对浏览器的兼容以及手机端也是比较不错的,用户使用以及编辑上传方面得到了很多用户的喜欢。
+关注继续查看

很多建站公司都在使用Kindeditor开源的图片上传系统,该上传系统是可视化的,采用的开发语言支持asp、aspx、php、jsp,几乎支持了所有的网站可以使用他们的上传系统,对浏览器的兼容以及手机端也是比较不错的,用户使用以及编辑上传方面得到了很多用户的喜欢。

前端时间我们SINE安全对其进行全面的网站漏洞检测的时候发现,Kindeditor存在严重的上传漏洞,很多公司网站,以及事业单位的网站都被上传违规内容,包括一些赌博的内容,从我们的安全监测平台发现,2019年3月份,4月份,5月份,利用Kindeditor漏洞进行网站攻击的情况,日益严重,有些网站还被阿里云拦截,并提示该网站内容被禁止访问,关于该网站漏洞的详情,我们来看下。
QQ_20190511085106

很多被攻击的网站的后台使用的是Kindeditor编辑器并使用upliad_json组件来进行上传图片以及文档等文件,目前存在漏洞的版本是Kindeditor 4.1.5以下,漏洞发生的代码文件是在upload_json.php代码里,该代码并没有对用户上传的文件格式,以及大小进行安全检测,导致用户可以伪造恶意文件进行上传,尤其html文件可以直接上传到网站的目录下,直接让搜索引擎抓取并收录。

我们来复现这个Kindeditor上传漏洞,首先使用的是Linux centos系统,数据库采用的是MySQL5.6,PHP版本使用的是5.4,我们将Kindeditor 4.1.5的源码拷贝到刚搭建的服务器里去,我们进行访问 http://127.0.0.1/Kindeditor/php/demo.php 截图如下:
2

打开上传页面后,我们可以发现上传的文件格式默认都是支持htm,html的包括我们上传的html使用XSS跨站攻击脚本代码都是可以执行的。攻击者利用这个网站漏洞批量的进行上传,对网站的快照进行劫持,收录一些非法违规的内容URL。

如何判断该网站使用的是Kindeditor编辑器呢?

1.kindeditor/asp/upload_json.asp?dir=file

2.kindeditor/asp.net/upload_json.ashx?dir=file

3.kindeditor/jsp/upload_json.jsp?dir=file

4.kindeditor/php/upload_json.php?dir=file

还有一个可以上传Webshell的漏洞,可以将asp,php等脚本文件直接上传到网站的目录下,利用方式首先上传一个图片,然后打开文件管理找到我们刚才上传的图片名字,点击改名这里,我们用火狐浏览器进行查看元素,找到FORM表单,将后缀名为JPG的改成PHP,然后点击修改,就可以导致图片文件被改成脚本执行了。

Kindeditor网站漏洞修复方案以及办法

该漏洞影响范围较广,攻击较多,一般都是公司企业网站以及政府事业单位,攻击者利用上传漏洞对其上传一些菠菜赌博棋牌等内容的html文件来进行百度快照的劫持,建议将上传功能进行删除,或者对代码里的上传格式进行限制,去掉html,htm的上传权限,只允许上传图片格式以及word文本。如果对网站代码不是太熟悉的话,可以找专业的安全公司来处理,国内也就Sinesafe公司和绿盟、启明星辰、深信服等网站安全公司比较专业。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
场景体验报告——冬季实战营第一期
冬季实战营第一期,通过六个场景,从ECS的登录开始,涵盖了安装并配置Apache、MySQL、PHP环境,Docker的部署、SpringBoot项目的部署,最后还搭建了一个门户网站。
8 0
程序员知识体系探索:点、线、面、体(上)
程序员知识体系探索:点、线、面、体(上)
3 0
【在家实践】 ECS 初体验
第一次体验云服务器,感觉十分奇妙。
9 0
冬季实战营学习报告 第一期:从零到一上手玩转云服务器
这一期训练营从1月17号开始,为期5天。主要内容是了解学习阿里云的云服务(ECS) 因为提前加入了阿里云社区活动群,管理员每天都会提醒我们登录账号打卡学习,这里感谢管理员对我们的监督😊😊。
14 0
漫谈“架构团队”之组织架构(上)
漫谈“架构团队”之组织架构(上)
3 0
从平台到中台【下】
前情提要 平台化架构由于缺乏对于前端业务一以贯之的端到端的支撑能力,平台与平台之间存在gap。平台化架构按照康威定律,必然是几个平台,几个团队,涉及到巨大的沟通成本而导致协作困难。平台化架构在数据化运营上存在短板,往往需要把多个平台的数据集成到一起并加工分析而产生新的支持到业务的价值。
9 0
基于阿里云从零到一上手玩转云服务器
基于国内最大的云服务商阿里云,开展几次基础的玩法课程来体验云服务的乐趣。
5 0
宝塔面板如何为网站配置SSL证书?
原文链接:https://blog.csdn.net/JunyouYH/article/details/120734870(我的不属于转载) 代码复制不过来请转原文。。代码复制不过来请转原文。。代码复制不过来请转原文
7 0
+关注
网站安全
Sinesafe专注于网站安全,服务器安全,解决各类网络安全问题,对代码审计以及漏洞修补安全加固有专业的十年实战经验.官方站点www.sinesafe.com
400
文章
184
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载