網站漏洞修補 Kindeditor上傳漏洞

不少建站公司都在使用Kindeditor開源的圖片上傳系統，該上傳系統是可視化的，採用的開發語言支持asp、aspx、php、jsp,幾乎支持了全部的網站可使用他們的上傳系統，對瀏覽器的兼容以及手機端也是比較不錯的，用戶使用以及編輯上傳方面獲得了不少用戶的喜歡。

前端時間咱們SINE安全對其進行全面的網站漏洞檢測的時候發現，Kindeditor存在嚴重的上傳漏洞，不少公司網站，以及事業單位的網站都被上傳違規內容，包括一些賭bo的內容，從咱們的安全監測平臺發現，2019年3月份，4月份，5月份，利用Kindeditor漏洞進行網站攻擊的狀況，日益嚴重，有些網站還被阿里雲攔截，並提示該網站內容被禁止訪問，關於該網站漏洞的詳情，咱們來看下。

不少被攻擊的網站的後臺使用的是Kindeditor編輯器並使用upliad_json組件來進行上傳圖片以及文檔等文件，目前存在漏洞的版本是Kindeditor 4.1.5如下，漏洞發生的代碼文件是在upload_json.php代碼裏，該代碼並無對用戶上傳的文件格式，以及大小進行安全檢測，致使用戶能夠僞造惡意文件進行上傳，尤爲html文件能夠直接上傳到網站的目錄下，直接讓搜索引擎抓取並收錄。

咱們來複現這個Kindeditor上傳漏洞，首先使用的是Linux centos系統，數據庫採用的是MySQL5.6，PHP版本使用的是5.4，咱們將Kindeditor 4.1.5的源碼拷貝到剛搭建的服務器裏去，咱們進行訪問 http://127.0.0.1/Kindeditor/php/demo.php 截圖以下：

打開上傳頁面後，咱們能夠發現上傳的文件格式默認都是支持htm,html的包括咱們上傳的html使用XSS跨站攻擊腳本代碼都是能夠執行的。攻擊者利用這個網站漏洞批量的進行上傳，對網站的快照進行劫持，收錄一些非法違規的內容URL。

如何判斷該網站使用的是Kindeditor編輯器呢？

1.kindeditor/asp/upload_json.asp?dir=file

2.kindeditor/asp.net/upload_json.ashx?dir=file

3.kindeditor/jsp/upload_json.jsp?dir=file

4.kindeditor/php/upload_json.php?dir=file

還有一個能夠上傳Webshell的漏洞，能夠將asp,php等腳本文件直接上傳到網站的目錄下，利用方式首先上傳一個圖片，而後打開文件管理找到咱們剛纔上傳的圖片名字，點擊更名這裏，咱們用火狐瀏覽器進行查看元素，找到FORM表單，將後綴名爲JPG的改爲PHP,而後點擊修改，就能夠致使圖片文件被改爲腳本執行了。

Kindeditor網站漏洞修復方案以及辦法

該漏洞影響範圍較廣，攻擊較多，通常都是公司企業網站以及政府事業單位，攻擊者利用上傳漏洞對其上傳一些菠菜棋牌等內容的html文件來進行百度快照的劫持，建議將上傳功能進行刪除，或者對代碼裏的上傳格式進行限制，去掉html,htm的上傳權限，只容許上傳圖片格式以及word文本。若是對網站代碼不是太熟悉的話，能夠找專業的安全公司來處理，國內也就Sinesafe公司和綠盟、啓明星辰、深信服等網站安全公司比較專業。