科技时代新浪首页 > 科技时代 > 学园 > 正文

当心被黑 慎用eWebEditor在线编辑器


http://www.sina.com.cn 2006年07月27日 09:25 IT168.com

  作者:小地瓜

  【IT168 实用技巧】网络上流行的网站系统莫过于新闻、论坛、电子商城以及博客等。这些系统都会要求有设置文字大小、颜色以及插入图片等功能,所以网络上出现了相应的第三方功能组件完成相应的功能,比如上传图片的一些组件,它们的出现为广大程序员提供了很大的方便,所以得到了广泛的应用。本文分析的是eWebEditor在线编辑器,它功能强大、调用方便,是站长建站的好帮手,但是其安全性没得到相应程度的关注,所以导致许多许多网站被黑之后仍然不知道问题出在哪。

    1.默认账号密码漏洞

    其实使用默认账号密码本身严格来说不算是漏洞,但网络上确确实实有许多系统使用eWebEditor在线编辑器的时候没有修改默认账号密码,难道仅仅因为它只是一个功能组件就忽略其安全因素吗?下载最新版的代码之后里面有说明文件如下:

    后台管理地址:http://127.0.0.1/ewebeditor/admin_default.asp

    默认登录用户:admin

    默认登录密码:admin

    那么攻击者如何确定一个网站是否使用了eWebEditor在线编辑器呢?首先是看外观,因为普通的编辑器与eWebEditor在线编辑器功能界面是明显不同的;其次可以看源代码,因为eWebEditor在线编辑器的调用代码也有自己的特征,如果看到<iframe ID='eWebEditor1' src='/edit/ewebeditor.asp?id=content&style=web' frameborder=0 scrolling=no width='550' HEIGHT='350'></iframe>这样的语句就可以确定使用了该功能组件而且暴露了目录;再者有些网站的目录可以浏览,可以看到有eWebEditor目录,进去之后就可以看到相应的页面,管理登录页面为admin_login.asp。总而言之,一旦找到该系统,攻击者首先就会去用默认账号密码登录,一般来说成功率蛮高的,这里拿某学校毕业设计管理系统抓个图,如图1:

当心被黑慎用eWebEditor在线编辑器
图1

    2. 默认数据库漏洞

    这个后台提供了修改管理员密码功能,如果密码被修改了,我们还可以试着下载默认数据据库db/ewebeditor.mdb,如图2:

当心被黑慎用eWebEditor在线编辑器
图2

    最新发布版里eWebEditor_System表保存着管理员账号密码信息,不过都用md5加密过,遇到md5加密一般去相应的MD5查询网站查解密结果或者用相应的工具软件进行暴破。

 [1] [2] [3] [下一页]

本文导航:
·当心被黑 慎用eWebEditor在线编辑器
·当心被黑 慎用eWebEditor在线编辑器(2)
·当心被黑 慎用eWebEditor在线编辑器(3)

发表评论

爱问(iAsk.com) 相关网页共约4,260,000



评论】【论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有