您所在的位置:主页 > 安全知识 > WEB安全 >

kindeditor编辑器漏洞原理分析

发布时期:2014-06-05    编辑:第9电脑网    字号:T | T

导读:KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEdito...

   KindEditor 是一套开源的在线HTML编辑器,主要用于让用户在网站上获得所见即所得编辑效果,开发人员可以用 KindEditor 把传统的多行文本输入框(textarea)替换为可视化的富文本输入框。KindEditor 使用 JavaScript 编写,可以无缝地与 Java、.NET、PHP、ASP 等程序集成,比较适合在 CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用

  在了解kindeditor漏洞之前我们需要先了解一下kindeditor。简单的说,kindeditor是一款让电脑用户在网站上获得“所见即所得”感受的可视化编辑器。它经常应用于商城、论坛、电子邮件、博客等应用中,是国内比较受欢迎的一款编辑器。

kindeditor漏洞是kindeditor美中不足的一面。它的优点很多:体积小但功能强大,加载速度也特别快;它的所有功能都是基于插件的设计,使得它在自定义和扩展方面轻而易举,关于系统安装步骤;它的风格变换只需修改一个css文件即可;它最重要的优点是支持大部分的浏览器。

  kindeditor漏洞是指把kindeditor编辑代码添加到数据库时没有问题,这些html代码不会被执行,但从数据库里取出来再放到kindeditor软件里进行修改的时候,所修改的html代码就被执行了的情况,就会导致一些编程变成了超链接的形式。

  如果攻击者利用kindeditor漏洞的话,我们的网站信息安全就得不到保障了,这里有两种比较简单的解决方法。一是删除/php/file_manger_json.php文件即可;二是在官方网站下载“加速乐”,它可以直接防御kindeditor漏洞,在源头上消除kindeditor的漏洞。

标题:kindeditor编辑器漏洞原理分析
原文地址:http://www.9pc.cn/aq/2014/28220.html

专题推荐

更多>>