内容简介:2月21日消息,近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了 KindEditor 编辑器组件。 本次安全事件主要由 upload_jso...
2月21日消息,近日,安恒明鉴网站安全监测平台和应急响应中心监测发现近百起党政机关网站被植入色情广告页面,分析发现被植入色情广告页面的网站都使用了 KindEditor 编辑器组件。
本次安全事件主要由 upload_json.* 上传功能文件允许被直接调用从而实现上传 htm,html,txt 等文件到服务器,在实际已监测到的安全事件案例中,上传的 htm,html 文件中存在包含跳转到违法色情网站的代码,攻击者主要针对党政机关网站实施批量上传,建议使用该组件的网站系统尽快做好安全加固配置,防止被恶意攻击。
根据对 GitHub 代码版本测试,<= 4.1.11 的版本上都存在上传漏洞,即默认有 upload_json.* 文件保留,但在 4.1.12 版本中该文件已经改名处理了,改成了 upload_json.*.txt 和 file_manager_json.*.txt,从而再调用该文件上传时将提示不成功。
本次漏洞级别为高危,目前针对该漏洞的攻击活动正变得活跃,建议尽快做好安全加固配置。
安全运营方面建议:直接删除 upload_json.* 和 file_manager_json.* 即可。
安全开发生命周期(SDL)建议:KindEditor 编辑器早在2017年就已被披露该漏洞详情,建议网站建设单位经常关注其系统使用的框架、依赖库、编辑器等组件的官方安全更新公告。
来自:雷锋网
以上所述就是小编给大家介绍的《KindEditor 上传漏洞致近百个党政机关网站遭植入》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
深度学习框架PyTorch:入门与实践
陈云 / 电子工业出版社 / 2018-1 / 65
《深度学习框架PyTorch:入门与实践》从多维数组Tensor开始,循序渐进地带领读者了解PyTorch各方面的基础知识。结合基础知识和前沿研究,带领读者从零开始完成几个经典有趣的深度学习小项目,包括GAN生成动漫头像、AI滤镜、AI写诗等。《深度学习框架PyTorch:入门与实践》没有简单机械地介绍各个函数接口的使用,而是尝试分门别类、循序渐进地向读者介绍PyTorch的知识,希望读者对PyT......一起来看看 《深度学习框架PyTorch:入门与实践》 这本书的介绍吧!
