宅客频道2月21日消息,安恒明鉴网站安全监测..和应急响应中心监测发现近百起党政机关网站被植入..广告页面,分析发现被植入..广告页面的网站都使用了KindEditor编辑器组件。
[本文来自:www.ii77.com]
本次安全事件主要由upload_json.*上传功能文件允许被直接调用从而实现上传htm,html,txt等文件到服务器,在实际已监测到的安全事件案例中,上传的htm,html文件中存在包含跳转到违法..网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。
[原创文章:www.ii77.com]
根据对GitHub代码版本测试,<= 4.1.11的版本上都存在上传漏洞,即默认有upload_json.*文件保留,但在4.1.12版本中该文件已经改名处理了,改成了upload_json.*.txt和file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。
本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。
安全运营方面建议:直接删除upload_json.*和file_manager_json.*即可。
安全开发生命周期(SDL)建议:KindEditor编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。
戳蓝字查看更多精彩内容 探索篇 ▼ 暗网【上】| 暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手.. | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单,包括已充话费和Q币订单 75条笑死人的知乎神回复,用60行代码就爬完了 不剁手也吃土?可能是挖矿木马掏空你的钱包 游戏黑产:我还在空中跳伞,就被人用拳头远程打死 都8012年了,英国卫生部门居然还在为“擦屁股” 与病毒名称相似,“捏脸”游戏ZEPETO涉嫌窃听? 扎心!Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税,隐私就被扒光了? 黑客骗局:Ins网红落难记 人物篇 ▼ 专访:“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟:我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”|专访 数字联盟刘晶晶:四年只做一个产品 长亭科技陈宇森:我打破的四个质疑 薛锋:我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟:怼死“空气币” 李均:我眼中的黑客精神 风宁:自由追风者 更多精彩正在整理中…… |
---
“喜欢就赶紧关注我们”
宅客『Letshome』
雷锋网旗下业界报道公众号。
专注先锋科技领域,讲述黑客背后的故事。
长按下图..并识别关注
:点击上方"蓝字"↑即可存眷我哦~4月11-12日,宜阳二高再次组织语文、汗青教师到新安二高进行听课交流。副校长郭小海、党总支副书记王喜特、工
近日,南方降水成长增加,江南多地将现强降雨,部门区域有暴雨,局地大暴雨,需小心地质灾祸的发生。同时,中东部大部持续升温,华北、黄淮
大家好,小豪今天来为大家解答沥青透层以下问题,沥青透层油多少钱一平方很多人还不知道,现在让我们一起来看看吧!1、透层的作用为使沥青
大家好,小丽今天来为大家解答国家扶贫资金分配的基本依据是以下问题,国家扶贫资金分配的基本依据是很多人还不知道,现在让我们一起来看看
大家好,小乐今天来为大家解答最新网游私服发布网以下问题,最新网游私服发布网很多人还不知道,现在让我们一起来看看吧!1、99nets他现在用的
一、大赛名称“知小象”杯——南岗区“龙脊之春”影像创意大赛。二、大赛时间 克日起至5月15日面向全社会征集展示。三、大赛主题以“龙脊之
权势数读|惠企又利民,设备更新和以旧换新动作方案来了!国新办4月11日举办国务院政策例行吹风会,介绍《鞭策大规模设备更新和消费品以旧换
大家好,小乐今天来为大家解答趣头条赚钱是真的吗以下问题,趣头条app能赚钱吗很多人还不知道,现在让我们一起来看看吧!1、趣头条赚钱它确实
本文内容来自网友供稿,如有信息侵犯了您的权益,请联系反馈核实
Copyright 2024.爱妻自媒体,让大家了解更多图文资讯!