語法:
site:target.com.tw inurl:fckeditor
出現相關頁面
出現異常頁面
利用拆解目錄原理,拆出fckeditor存放檔案路徑
例如:
/ctrl_house/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/asp/connector.asp
結論
fckeditor的功能仍被廣用於網站開發的編輯器功能,但該編輯器持續有被發現漏洞問題,若網站開發人員需使用該套件,應了解該套件上傳檔案的路徑,以及副檔名、目錄的權限控制,以防被駭客上傳web shell的最佳途徑。
沒有留言:
張貼留言