文章来源:安全中国

近期黑客利用网站WebSite免费WEB编辑器(eWebEditor)漏洞进行入侵导致些网站WebSite数据被删除首页被篡改近日某市网监对被入侵网站WebSite痕迹分析得出其基本情况如下: 
　　、判断网站WebSite是否使用了eWebEditor简单思路方法:查看源代码看看源码中是否存在类似“ewebeditor.asp?id=”语句只要有此语句存在就能判断网站WebSite确实使用了WEB编辑器

　　 2、该WEB编辑器可能被黑客利用攻击安全漏洞:

　　(1)管理员未对编辑器数据库路径和名称进行修改导致黑客可以利用编辑器默认路径直接对网站WebSite数据库进行下载

　　(2)管理员未对编辑器用户登录路径进行修改导致黑客可以利用网站WebSite数据库所获得用户名和密码直接登陆编辑器管理后台

　　(3)该WEB编辑器上传存在安全漏洞:

　　请看Upload.asp文件中有这么段表达式:

　　sAllowExt = Replace(UCase(sAllowExt), "ASP", "")任何情况下都不允许上传asp脚本文件

　　但该语句仅过滤了ASP文件未同时过滤ASA、CER等文件上述两类文件同样可以构成ASP后门黑客还能利用在上传类型中增加“aaspsp”来绕过此思路方法对扩展名过滤根据该语句过滤规则“aaspsp”过滤了“asp”后反而变成了“asp”这种类似漏洞利用思路方法也可以运用在动网论坛7.0 sp2中

　　整理总结

　　面对此种威胁网站WebSite管理员应该做好如下防范措施:

　　1、使用了eWebEditor编辑器网站WebSite应及时修改该编辑器默认数据库路径和后缀名防止数据库被黑客非法下载

　　2、修改编辑器后台登陆路径和默认登陆用户名和密码防止黑客进入后台管理界面

　　3、对Upload.asp语句进行修改,防止黑客利用其上传ASP木马从而获得WEB权限

　　4、及时对网站WebSite服务器IIS配置中应用扩展名映射进行整理确保其它类型文件不能在服务器网站WebSite上运行

上篇文章: 解读IDS入侵检测系统术语

下篇文章: 推荐:浅析跨站攻击技术和防御