728x90
에디터를 사용할 때, 샘플 페이지를 삭제하지 않을 경우 웹 취약점을 발생시킬 수 있으므로 삭제하는 것을 권고합니다.
주로 발생하는 에디터 종류로는
1. Smart Editor (네이버)
2. Namo Cross Editor(지란지교소프트)
3. 나모 웹 에디터(나모인터랙티브)
각 Web Editor 별로 최신버전의 업데이트가 필요합니다.
1. Smart Editor
- 이미지 업로드 취약점 등이 제거된 최신버전(2.9.1 이상)으로 업데이트 필요
- 2.9.0 버전부터 취약한 이미지 업로드 예제용 샘플 페이지를 제거하고 배포중
- 구버전 운영중인 경우 이미지 업로드 샘플파일 존재여부 확인 후 제거
- sample > photo_uploader 디렉터리에 샘플파일이 존재
2. 나모 웹에디터 및 크로스에디터
- 샘플페이지에 첨부기능을 활용하여 업로드 공격이 가능
- 최신 버전의 나모 웹에디터, 크로스에디터로 업데이트 필요
- 3.5.1.14 및 4.2.0.12 버전 이상에서 업로드 취약점 패치 공지
아래는 대표적으로 취약점이 발생하는 경로입니다.
| CHEditor | /editor/popup/image.html |
| /cheditor/ | |
| /core/editor/ | |
| /board/cheditor/ | |
| /js/cheditor/ | |
| /cheditor4/ | |
| /ko/cheditor4/ | |
| /cheditor5/ | |
| /cheditor/example/newpost.html | |
| /cheditor/example/modifiy.html | |
| /cheditor/example/multi.html | |
| /cheditor/imageUpload/upload.jsp | |
| CKEditor | /ckeditor/ |
| /ckfinder/ | |
| /ckfinder/ckfinder.html | |
| ckeditor/upload.jsp | |
| /ckeditor/_samples/ | |
| /ckeditor/samples/ | |
| /ckeditor/_samples/index.html | |
| /ckeditor/samples/index.html | |
| /skins/ckeditor/ | |
| /_sys/_plugin/cke | |
| Namo CrossEditor | /namo/ |
| /namo/index.html | |
| /namo/manage/index.html | |
| /crosseditor/ | |
| /crosseditor/manager/ | |
| /crosseditor/index.html | |
| /crosseditor/manage/index.html | |
| /crosseditor/manage/jsp/manager_setting.jsp | |
| /crosseditor/binary/upload/devshell.jsp | |
| /crosseditor/binary/upload/cmd.jspx | |
| /resources/crosseditor/ | |
| /resources/crosseditor/index.html | |
| /resources/component/crosseditor/index.html | |
| DaumEditor | /daumeditor/ |
| /_moduel/daumeditor/ | |
| /daumeditor/editor.html | |
| dext5Editor | /DEXTUpload/ |
| /dext5/ | |
| /dext5upload/ | |
| /dext5upload/sample/ | |
| /com/dext5upload/ | |
| /dext5upload/sample/index.html | |
| /dext5Upload/sample/html/sample_upload.html | |
| /dext5editor/admin/jsp/login.jsp | |
| /dext5editor/admin/jsp/uploader_setting.jsp | |
| /samples/index.html | |
| /aspupload/ | |
| /aspupload/file_upload.html | |
| FCKEditor | /fck/editor/ |
| /FCKeditor/ | |
| /js/fckeditor/ | |
| /feditor/editor/fckeditor.html | |
| /fckeditor/editor/filemanager/browser/default/browser.html | |
| /fckeditor/editor/filemanager/connectors/test.html | |
| /fckeditor/editor/filemanager/connectors/uploadtest.html | |
| /editor/filemanager/browser/default/browser.html | |
| /editor/editor/filemanager/browser/default/browser.html | |
| /HtmlEditor/_samples/default.html | |
| SmartEditor | /js/se2/SmartEditor2.html |
| /nse/SmartEditor2.html | |
| /SmartEditor2.html | |
| /SmartEditorBasic/ | |
| /SmartEditor2/ | |
| /SmartEditorBasic/SEditorDemo.html | |
| /SEditor/popup/quick_photo/imgupload.jsp | |
| /smarteditor/photo_uploader/popup/file_uploader_html5.php | |
| /SE2/photo_uploader/popup/file_uploader_html5.php | |
| /smarteditor2/photo_uploader/popup/file_uploader_html5.php | |
| /smarteditor/popup/quick_photo/FileUploader_html5.php | |
| /plugin/smarteditor2/photo_uploader/popup/file_uploader_html5.php |
반응형
'Web 모의해킹' 카테고리의 다른 글
| 공유기 제조사 별 관리자 페이지 (0) | 2022.11.22 |
|---|---|
| ICMP 자료전송 (0) | 2022.05.30 |
| HTTP 웹 메소드 수동 점검 (0) | 2021.04.22 |
| SQL인젝션 (0) | 2020.11.09 |
| Webshell 공격 (0) | 2020.01.20 |