zoukankan      html  css  js  c++  java
  • (转载)sinaeditor漏洞

    SinaEditor简介

    SinaEditor是基于新浪博客编辑器的开源编辑器。您可以用它来编辑富文本内容。

    编辑器的核心是一个执行队列的调度系统,加入插件来实现功能,并通过事件来驱动编辑器的运行。我们对事件进行了一次封装,有效的解决了匿名事件函数不能回收的问题,减少内存占用的情况。

    特性

    1. 所有的功能基于插件方式编写。可以自由配置功能。
    2. 提供了Range的API。对IE的text range进行了标准的兼容及扩展,降低插件编写难度。
    3. 支持外观修改。可通过在修改或添加极少代码的情况下,让编辑器的呈现变得更个性化。

    更多参考此处http://code.google.com/p/sinaeditor/

    0×01 漏洞描述

    SinaEditor为开源web编辑器,原为asp版本,有人再开发得到JSP版本,我分析的正是个存在漏洞的版本。
    该版本存在上传漏洞,导致黑客直接上传jsp webshell成功入侵web服务器

    0×02 漏洞利用

    本人:

    找到上传的示范网址

    www.xxx.com/SinaEditor/

  • 相关阅读:
    MongoDB学习(翻译6)
    MongoDB学习(翻译5)
    MongoDB学习(翻译4)
    MongoDB学习之--安全和认证
    MongoDB学习(翻译3)
    前端面试题—1
    静态网页制作
    风雨哈佛路感后感
    实习记录11
    实习记录10
  • 原文地址:https://www.cnblogs.com/cookies9/p/3907520.html
Copyright © 2011-2022 走看看