taesun1114.tistory.com/entry/%EC%A3%BC%EC%9A%94-Editor-%EC%83%98%ED%94%8C%ED%8E%98%EC%9D%B4%EC%A7%80-%EB%B0%8F-%EC%B7%A8%EC%95%BD%EC%A0%90-%EB%B0%9C%EC%83%9D%EA%B2%BD%EB%A1%9C

 

주요 Editor 샘플페이지 및 취약점 발생경로

에디터를 사용할 때, 설치 후 샘플페이지 및 주요취약점이 발생하는 페이지를 삭제하지 않고 사용할 경우 해당 경로를 통해 취약점이 발생합니다. 아래는 대표적으로 취약점이 발생하는 경로입

taesun1114.tistory.com

https://itinformation.tistory.com/125

 

웹서버 web editor 취약점 및 샘플페이지

※ 주의 : 본 포스팅의 내용을 악용할 시 법적 문제를 야기할 수 있으므로, 반드시 법적 테두리 안에서 허용되는 경우에만 사용하시기 바랍니다. 웹 서버에 게시판 SW(웹 에디터)에 대한 취약점을

itinformation.tistory.com

에디터를 사용할 때, 설치 후 샘플페이지 및 주요취약점이 발생하는 페이지를 삭제하지 않고 사용할 경우 해당 경로를 통해 취약점이 발생합니다.

 

아래는 대표적으로 취약점이 발생하는 경로입니다.

 

주로 발생하는 에디터 종류로는

1. Smart Editor (네이버)

2. Namo Cross Editor(지란지교소프트)

3. 나모 웹 에디터(나모인터랙티브)

각 Web Editor 별로 최신버전의 업데이트가 필요합니다.

 

1. Smart Editor

 - 이미지 업로드 취약점 등이 제거된 최신버전(2.9.1 이상)으로 업데이트 필요

 - 2.9.0 버전부터 취약한 이미지 업로드 예제용 샘플 페이지를 제거하고 배포중

 - 구버전 운영중인 경우 이미지 업로드 샘플파일 존재여부 확인 후 제거

 - sample > photo_uploader 디렉터리에 샘플파일이 존재

 

2. 나모 웹에디터 및 크로스에디터

 - 샘플페이지에 첨부기능을 활용하여 업로드 공격이 가능

 - 최신 버전의 나모 웹에디터, 크로스에디터로 업데이트 필요

 - 3.5.1.14 및 4.2.0.12 버전 이상에서 업로드 취약점 패치 공지

 

CHEditor 

 /editor/popup/image.html

 /cheditor/

 /core/editor/

 /board/cheditor/

 /js/cheditor/

 /cheditor4/

 /ko/cheditor4/

 /cheditor5/

 /cheditor/example/newpost.html
 /cheditor/example/modifiy.html
 /cheditor/example/multi.html
 /cheditor/imageUpload/upload.jsp

 CKEditor

 /ckeditor/
 /ckfinder/
 /ckfinder/ckfinder.html
 ckeditor/upload.jsp
 /ckeditor/_samples/

 /ckeditor/samples/

 /ckeditor/_samples/index.html
 /ckeditor/samples/index.html
 /skins/ckeditor/

 /_sys/_plugin/cke

 Namo CrossEditor

/namo/ 
 /namo/index.html
 /namo/manage/index.html
 /crosseditor/

 /crosseditor/manager/

 /crosseditor/index.html
 /crosseditor/manage/index.html
 /crosseditor/manage/jsp/manager_setting.jsp
 /crosseditor/binary/upload/devshell.jsp
 /crosseditor/binary/upload/cmd.jspx
 /resources/crosseditor/
 /resources/crosseditor/index.html
 /resources/component/crosseditor/index.html

 DaumEditor

 /daumeditor/
 /_moduel/daumeditor/
 /daumeditor/editor.html

 dext5Editor

/DEXTUpload/ 

 /dext5/
 /dext5upload/
 /dext5upload/sample/
 /com/dext5upload/
 /dext5upload/sample/index.html
 /dext5Upload/sample/html/sample_upload.html
 /dext5editor/admin/jsp/login.jsp
 /dext5editor/admin/jsp/uploader_setting.jsp
 /samples/index.html
 /aspupload/
 /aspupload/file_upload.html

 FCKEditor

 /fck/editor/
 /FCKeditor/
 /js/fckeditor/
 /feditor/editor/fckeditor.html
 /fckeditor/editor/filemanager/browser/default/browser.html
 /fckeditor/editor/filemanager/connectors/test.html
 /fckeditor/editor/filemanager/connectors/uploadtest.html
 /editor/filemanager/browser/default/browser.html
 /editor/editor/filemanager/browser/default/browser.html
 /HtmlEditor/_samples/default.html

 SmartEditor

 /js/se2/SmartEditor2.html
 /nse/SmartEditor2.html
 /SmartEditor2.html
 /SmartEditorBasic/
 /SmartEditor2/
 /SmartEditorBasic/SEditorDemo.html
 /SEditor/popup/quick_photo/imgupload.jsp
 /smarteditor/photo_uploader/popup/file_uploader_html5.php
 /SE2/photo_uploader/popup/file_uploader_html5.php
 /smarteditor2/photo_uploader/popup/file_uploader_html5.php
 /smarteditor/popup/quick_photo/FileUploader_html5.php
 /plugin/smarteditor2/photo_uploader/popup/file_uploader_html5.php

 

좋아요9

공유하기

글 요소

구독하기

 



출처: https://taesun1114.tistory.com/entry/주요-Editor-샘플페이지-및-취약점-발생경로 []

'' 카테고리의 다른 글

IIS cipher suite 암호 알고리즘 설정  (0) 2020.12.28
Aliexpress Captcha Reuse  (0) 2020.12.06
디피 헬만 키(Diffie Hellman Key) SSL 취약점  (0) 2020.10.30
subdomain finder  (0) 2020.10.21
TLS 1.0, 1.1 중단 일정  (0) 2020.10.12
블로그 이미지

wtdsoul

,