2006年6月9日星期五

eWebEditor编辑器的安全漏洞

  今天帮一个朋友清除了Z-Blog里的一个系统漏洞。

  早上,ilmay发邮件给我,说他博客进不去,要我帮忙,我去看了下,发现页面文件里被加入了iframe恶意木马病毒,应该是被黑了,可能是利用了系统里的某个漏洞。因为他用的是Z-Blog Plus,和我用的自己修改的Z-Blog有点类似,因此我对这个漏洞也比较感兴趣。

  经过对IIS日志文件的分析,我发现原因是eWebEditor编辑器有重大漏洞。Z-Blog Plus提供了eWebEditor编辑器,却没有说明如何正确使用,并且不做任何修改而直接使用的话,简直就是一场灾难。

  首先的一个漏洞是eWebEditor提供了后台登录,默认用户名和密码可以登录进去。

  其次,eWebEditor目录下的Upload.asp文件,有一个极为幼稚的错误,即对于文件过滤只是通过sAllowExt=Replace(UCase(sAllowExt), "ASP", "")来禁止上传asp文件,那么为什么不同时过滤asa、cer等文件呢?而且怎么可以用这种有问题的语句进行过滤呢?事实上,黑客正是利用这个漏洞上传了一个后缀为asa的木马文件。

  解决这个问题的方法是,先用admin登录到后台,修改密码,然后删除admin_login.asp文件,如果不需要上传的话,最好连upload.asp也一起删除掉。另外我看了看eWebEditor的代码,感觉写的比较乱,可能还会有其他漏洞,不建议使用这个编辑器。

  对于Z-Blog的安全,我觉得,应该尽量少地增加一些编辑器或其他插件,关闭用户注册功能,关闭附加编辑器的上传功能,不要使用一些有安全漏洞的编辑器,这样才可以保证系统的安全性。

  另外要少在页面里添加外部的script代码,特别是统计代码。我就曾经为了统计浏览数而增加了一个名叫武林榜(50bang)的统计代码,曾经发现偶尔会出现病毒,也有用户举报,以前总以为是不是武林榜服务器被黑客攻击,后来才知道原来武林榜和周鸿袆、庞升东等搞过9991这样声名狼藉的木马病毒的人有着密切的关系,因此我以最快的速度将武林榜的代码从我所有网页里删除,防止其再去害人。

  在当今之中国,网民是命中注定要被那些做网站的老流氓们强奸,即使高手也会防不胜防。