网站eWebEditor编辑器漏洞

　　网站eWebEditor编辑器漏洞

　　黑客利用网站的免费WEB编辑器(eWebEditor)漏洞进行入侵，导致一些网站数据被删除，首页被篡改。近日某市网监对被入侵网站的痕迹分析，得出其基本情况如下：

　　一、判断网站是否使用了eWebEditor的简单方法：查看程序源代码，看看源码中是否存在类似“ewebeditor.asp?id=”语句，只要有此语句的存在，就能判断网站确实使用了WEB编辑器。

　　二、该WEB编辑器可能被黑客利用攻击的安全漏洞：

　　(1)管理员未对编辑器的数据库路径和名称进行修改，导致黑客可以利用编辑器默认路径直接对网站数据库进行下载。

　　(2)管理员未对编辑器的用户登录路径进行修改，导致黑客可以利用网站数据库所获得的用户名和密码直接登陆编辑器管理后台。

　　(3)该WEB编辑器上传程序存在的安全漏洞：

　　请看Upload.asp文件，程序中有这么一段表达式：

　　sAllowExt=Replace(UCase(sAllowExt),&"ASP&",&"&")任何情况下都不允许上传asp脚本文件尒説书网

　　但该语句仅过滤了ASP文件，未同时过滤ASA、CER等文件。上述两类文件同样可以构成ASP程序后门程序。黑客还能利用在上传程序类型中增加“aaspsp”来绕过此方法对扩展名的过滤，根据该语句的过滤规则，“aaspsp”过滤了“asp”字符后，反而变成了“asp”，这种类似的漏洞利用方法也可以运用在动网论坛7.0sp2中。

　　总结

　　面对此种威胁网站管理员应该做好如下的防范措施：

　　1、使用了eWebEditor编辑器的网站，应及时修改该编辑器的默认数据库路径和后缀名，防止数据库被黑客非法下载

　　2、修改编辑器后台登陆路径和默认的登陆用户名和密码，防止黑客进入后台管理界面

　　3、对Upload.asp语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限

　　4、及时对网站服务器IIS配置中的应用程序扩展名映射进行整理，确保其它类型的文件不能在服务器网站上运行。

　　给玩QQ一个警惕

　　因为现在很多聊天工具都支持自定义表情。而且很多表情都是GIF格式

　　而且还能和别人一起听音乐

　　下面就以QQ为例

　　MP3插马就不说了。

　　简单的说可以播放到任意时间运行木马

　　而QQ刚好有这个功能

　　也就是说。只要群里的人一发共享音乐。你就中马。<传马-前提自己是绿钻、、不说了。舍得有人做坏事》2.也就是我才在报纸上看到得QQ表情挂马

　　因为QQ表情是动态GIF图像。具体怎么查马我也不清楚。

　　反正那个表情加载的很慢。只要你一点。你的QQ里会多个alg.exe通常是一个。你点了就出现2个

　　其实这个是后门木马。

　　我说那么多

　　就是希望大家小心. 有的人死了，但没有完全死……

　　无尽的昏迷过后，时宇猛地从床上起身。想要看最新章节内容，请下载爱阅小说app，无广告免费阅读最新章节内容。网站已经不更新最新章节内容，已经爱阅小说APP更新最新章节内容。

　　他大口的呼吸起新鲜的空气，胸口一颤一颤。

　　迷茫、不解，各种情绪涌上心头。

　　这是哪？

　　随后，时宇下意识观察四周，然后更茫然了。

　　一个单人宿舍？

　　就算他成功得到救援，现在也应该在病房才对。

　　还有自己的身体……怎么会一点伤也没有。

　　带着疑惑，时宇的视线快速从房间扫过，最终目光停留在了床头的一面镜子上。

　　镜子照出他现在的模样，大约十七八岁的年龄，外貌很帅。

　　可问题是，这不是他！下载爱阅小说app，阅读最新章节内容无广告免费

　　之前的自己，是一位二十多岁气宇不凡的帅气青年，工作有段时间了。

　　而现在，这相貌怎么看都只是高中生的年纪……

　　这个变化，让时宇发愣很久。

　　千万别告诉他，手术很成功……

　　身体、面貌都变了，这根本不是手术不手术的问题了，而是仙术。

　　他竟完全变成了另外一个人！

　　难道……是自己穿越了？

　　除了床头那摆放位置明显风水不好的镜子，时宇还在旁边发现了三本书。

　　时宇拿起一看，书名瞬间让他沉默。

　　《新手饲养员必备育兽手册》

　　《宠兽产后的护理》

　　《异种族兽耳娘评鉴指南》

　　时宇：？？？

　　前两本书的名字还算正常，最后一本你是怎么回事？

　　“咳。”

　　时宇目光一肃，伸出手来，不过很快手臂一僵。

　　就在他想翻开第三本书，看看这究竟是个什么东西时，他的大脑猛地一阵刺痛，大量的记忆如潮水般涌现。

　　冰原市。

　　宠兽饲养基地。

　　实习宠兽饲养员。网站即将关闭，下载爱阅app为您提供大神铁血悍馬H8的教你简单的黑客人门技术

　　御兽师？