近日,安恆明鑑網站安全監測平臺和應急響應中心監測發現近百起黨政機關網站被植入廣告頁面,分析發現被植入廣告頁面的網站都使用了KindEditor編輯器組件。
編輯器組件的作用就是網站後臺上傳網站前臺展示信息的工具,編輯器組件種類較多,一般有360編輯器,百度編輯器,layer編輯器。
本次安全事件主要由upload_json.*上傳功能文件允許被直接調用從而實現上傳htm,html,txt等文件到服務器,在實際已監測到的安全事件案例中,上傳的htm,html文件中存在包含跳轉到違法網站的代碼,攻擊者主要針對黨政機關網站實施批量上傳,建議使用該組件的網站系統儘快做好安全加固配置,防止被惡意攻擊。
根據對GitHub代碼版本測試,<= 4.1.11的版本上都存在上傳漏洞,即默認有upload_json.*文件保留,但在4.1.12版本中該文件已經改名處理了,改成了upload_json.*.txt和file_manager_json.*.txt,從而再調用該文件上傳時將提示不成功。
文傑君發現,在2017年,已經有人在GitHub上提出過漏洞,
在最新的代碼中,以asp.net為例,該漏洞也已經修復,對於個人來說,其實沒有什麼值得擔心的,主要是公司網站,政府網站,發現漏洞及時修復。
本次漏洞級別為高危,目前針對該漏洞的攻擊活動正變得活躍,建議儘快做好安全加固配置。
安全運營方面建議:直接刪除upload_json.*和file_manager_json.*即可,或者升級版本。分享到:
閱讀更多 文傑君哥哥 的文章
