https://itinformation.tistory.com/125
에디터를 사용할 때, 설치 후 샘플페이지 및 주요취약점이 발생하는 페이지를 삭제하지 않고 사용할 경우 해당 경로를 통해 취약점이 발생합니다.
아래는 대표적으로 취약점이 발생하는 경로입니다.
주로 발생하는 에디터 종류로는
1. Smart Editor (네이버)
2. Namo Cross Editor(지란지교소프트)
3. 나모 웹 에디터(나모인터랙티브)
각 Web Editor 별로 최신버전의 업데이트가 필요합니다.
1. Smart Editor
- 이미지 업로드 취약점 등이 제거된 최신버전(2.9.1 이상)으로 업데이트 필요
- 2.9.0 버전부터 취약한 이미지 업로드 예제용 샘플 페이지를 제거하고 배포중
- 구버전 운영중인 경우 이미지 업로드 샘플파일 존재여부 확인 후 제거
- sample > photo_uploader 디렉터리에 샘플파일이 존재
2. 나모 웹에디터 및 크로스에디터
- 샘플페이지에 첨부기능을 활용하여 업로드 공격이 가능
- 최신 버전의 나모 웹에디터, 크로스에디터로 업데이트 필요
- 3.5.1.14 및 4.2.0.12 버전 이상에서 업로드 취약점 패치 공지
CHEditor |
/editor/popup/image.html |
/cheditor/ |
|
/core/editor/ |
|
/board/cheditor/ |
|
/js/cheditor/ |
|
/cheditor4/ |
|
/ko/cheditor4/ |
|
/cheditor5/ |
|
/cheditor/example/newpost.html | |
/cheditor/example/modifiy.html | |
/cheditor/example/multi.html | |
/cheditor/imageUpload/upload.jsp | |
CKEditor |
/ckeditor/ |
/ckfinder/ | |
/ckfinder/ckfinder.html | |
ckeditor/upload.jsp | |
/ckeditor/_samples/ | |
/ckeditor/samples/ |
|
/ckeditor/_samples/index.html | |
/ckeditor/samples/index.html | |
/skins/ckeditor/ | |
/_sys/_plugin/cke |
|
Namo CrossEditor |
/namo/ |
/namo/index.html | |
/namo/manage/index.html | |
/crosseditor/ | |
/crosseditor/manager/ |
|
/crosseditor/index.html | |
/crosseditor/manage/index.html | |
/crosseditor/manage/jsp/manager_setting.jsp | |
/crosseditor/binary/upload/devshell.jsp | |
/crosseditor/binary/upload/cmd.jspx | |
/resources/crosseditor/ | |
/resources/crosseditor/index.html | |
/resources/component/crosseditor/index.html | |
DaumEditor |
/daumeditor/ |
/_moduel/daumeditor/ | |
/daumeditor/editor.html | |
dext5Editor |
/DEXTUpload/ |
/dext5/ | |
/dext5upload/ | |
/dext5upload/sample/ | |
/com/dext5upload/ | |
/dext5upload/sample/index.html | |
/dext5Upload/sample/html/sample_upload.html | |
/dext5editor/admin/jsp/login.jsp | |
/dext5editor/admin/jsp/uploader_setting.jsp | |
/samples/index.html | |
/aspupload/ | |
/aspupload/file_upload.html | |
FCKEditor |
/fck/editor/ |
/FCKeditor/ | |
/js/fckeditor/ | |
/feditor/editor/fckeditor.html | |
/fckeditor/editor/filemanager/browser/default/browser.html | |
/fckeditor/editor/filemanager/connectors/test.html | |
/fckeditor/editor/filemanager/connectors/uploadtest.html | |
/editor/filemanager/browser/default/browser.html | |
/editor/editor/filemanager/browser/default/browser.html | |
/HtmlEditor/_samples/default.html | |
SmartEditor |
/js/se2/SmartEditor2.html |
/nse/SmartEditor2.html | |
/SmartEditor2.html | |
/SmartEditorBasic/ | |
/SmartEditor2/ | |
/SmartEditorBasic/SEditorDemo.html | |
/SEditor/popup/quick_photo/imgupload.jsp | |
/smarteditor/photo_uploader/popup/file_uploader_html5.php | |
/SE2/photo_uploader/popup/file_uploader_html5.php | |
/smarteditor2/photo_uploader/popup/file_uploader_html5.php | |
/smarteditor/popup/quick_photo/FileUploader_html5.php | |
/plugin/smarteditor2/photo_uploader/popup/file_uploader_html5.php |
좋아요9
공유하기
글 요소
구독하기
출처: https://taesun1114.tistory.com/entry/주요-Editor-샘플페이지-및-취약점-발생경로 []
'웹' 카테고리의 다른 글
IIS cipher suite 암호 알고리즘 설정 (0) | 2020.12.28 |
---|---|
Aliexpress Captcha Reuse (0) | 2020.12.06 |
디피 헬만 키(Diffie Hellman Key) SSL 취약점 (0) | 2020.10.30 |
subdomain finder (0) | 2020.10.21 |
TLS 1.0, 1.1 중단 일정 (0) | 2020.10.12 |