漏洞分析:
ueditor插件目录一般都自带index.html文件(完整demo文件),这个文件原来是用来测试插件功能的,但粗心的程序员们,开发好项目后,都忘记删除这个demo文件了,导致黑客可以很轻松的访问到这个index.html,并且可以直接上传木马图片或者木马文件,如下图:
解决方案:
1、删除ueditor插件目录下的index.html文件,删除不影响ueditor富文本编辑器的正常功能;
2、优化ueditor插件目录/php/Uploader.class.php里的upFile()和upBase64()函数,添加特征码检测,检测上传的是否为木马图片或者木马文件,效果如下图:
