FCKeditor漏洞不设防的商业城市

出处：yxshop脆弱易商城漏洞危害：黑客可以控制网站yxshop，容易认为购物中心是中国第一个开源的商城系统，其内置的文件编辑器FCKeditor。

有严重的上传漏洞（yxshop使用下面的FCKeditor编辑器2.4版本，版本和下面的FCKeditor编辑器2.4版已上传漏洞）。黑客可以上传aspx木马得到webshell控制整个网站。

试验方法如下：首先，基于由；YxShop关键词搜索，你可以找到很多使用yxshop商城系统建立一个网站，以小网站选择一个排名，因为排在前面的站点已经被许多黑客访问。

To find the target, add the following command in its website domain name: controls/fckeditor/editor/filemanager/browser/default/browser.html Type=../Connector=connectors/aspx/connector.aspx is not a page you can upload files accidentally open the Fckeditor editor, the first thing ready ASPX Trojan can upload up (Figure 1).

图1

一些管理者知道的漏洞和可能删除connector.aspx文件来防止黑客的入侵，但黑客仍然可以构建本地提交页面上传文件，创建一个新的记事本，输入如下：

上传一个新文件：

U3000 U3000

U3000 U3000
将文件保存为test.html，之后双击，你可以上传aspx木马，可以通过上传webshell的aspx木马获得的，在这一点上，整个现场已被抓获（图2）。

图2

因为yxshop本身没有漏洞，问题是在fckeditor编辑器，所以只要我们过程的fckeditor编辑器，我们可以防止网站被入侵。有两种方法来处理它。

FCKeditor编辑器彻底删除。

升级到2.4以上版本的FCKeditor编辑器。