태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.
보이기/숨기기 가능합니다^^
분류 전체보기 (264)
이벤트정보 (14)
서버호스팅 (32)
웹호스팅 (8)
가격 및 평가 (2)
도메인 (17)
호스팅 상식 (10)
기타호스팅 (7)
서버 정보 (36)
IDC (8)
가격비교정보 (3)
웹 기획 (1)
웹 제작 (15)
웹 마케팅 (6)
리눅스정보 (15)
윈도우서버 (16)
추천서적 (0)
솔루션가이드 (8)
자료실 (7)
호스팅용어 (6)
문서자료실 (0)
보안 (25)
기타 활용팁 (8)
인터넷기초자료 (2)
IT 이야기 (4)
WinSCP (3)
클라우드컴퓨팅 (4)

보이기/숨기기 가능합니다^^

FCKEditor의 파일 업로드 취약점
보안 | 2010. 8. 27. 10:39


FCKEditor는 많은 기능을 제공하고 거의 모든 브라우저에서 작동하기 때문에 많이 사용하는 웹기반의 WYSIWYG에디터입니다.




그래서 많은 개발자들이 웹에디터로 FCKEditor를 임베드해서 웹사이트를 개발하고 있습니다.

다운로드가 가능한 공식사이트는 아래와 같습니다.



FCKEditor 공식 사이트
Web Site : http://www.fckeditor.net/

사용자 삽입 이미지


 

보안상취약점

그러나 편리하게 사용되는 만큼 보안상 취약점을 가지고 있습니다.
SQL Injection을 당한 사이트들을 보면 많은 사이트들이 FCKEditor의 취약점으로 인해 당한 사례가 많습니다.

그래서 각별히 SQL Injection에 대한 주의가 요망됩니다.

문제점

http://도메인/include/FCKeditor/editor/filemanager/browser/defa
ult/connectors/test.html 경로를 통해 악성파일이 업로드가 가능합니다.


 

취약점 제거 방법

1. 취약점이 있는 test.html을 삭제

2. 확장자 필터링을 통해 php, asp, asa, html 확장자 파일의 업로드를 차단

3. 필터링 => SQL Injection 취약점을 이용한 공격방어하기 ASP, PHP


Trackbacks 0 : Comments 0
위로
이전 페이지 다음 페이지
보이기/숨기기 가능합니다^^
2016년 2016
손님 2014
최재복 2013
아 진짜 정말 너무 유용한 정보였습니다. 2013
스마일서브 2013
유료랍니다.소송도 진행되는,, 2013
illa 2013
오래쓴사람 2012
써봤더니... 2012
초보자 2012
김성민 2012
skup złota 2012
금융경제 인사이드 2011
올호스트 URECA 2011
올호스트 URECA 2011



  RSSFeed