FCKEditor는 많은 기능을 제공하고 거의 모든 브라우저에서 작동하기 때문에 많이 사용하는 웹기반의 WYSIWYG에디터입니다.
그래서 많은 개발자들이 웹에디터로 FCKEditor를 임베드해서 웹사이트를 개발하고 있습니다.
다운로드가 가능한 공식사이트는 아래와 같습니다.
FCKEditor 공식 사이트
Web Site : http://www.fckeditor.net/
Web Site : http://www.fckeditor.net/
보안상취약점
그러나 편리하게 사용되는 만큼 보안상 취약점을 가지고 있습니다.
SQL Injection을 당한 사이트들을 보면 많은 사이트들이 FCKEditor의 취약점으로 인해 당한 사례가 많습니다.
그래서 각별히 SQL Injection에 대한 주의가 요망됩니다.
문제점
http://도메인/include/FCKeditor/editor/filemanager/browser/defa
ult/connectors/test.html 경로를 통해 악성파일이 업로드가 가능합니다.
취약점 제거 방법
1. 취약점이 있는 test.html을 삭제
2. 확장자 필터링을 통해 php, asp, asa, html 확장자 파일의 업로드를 차단
3. 필터링 => SQL Injection 취약점을 이용한 공격방어하기 ASP, PHP
'보안' 카테고리의 다른 글
| 개인정보가 줄줄 새고 있는 국가 공공기관 사이트 (0) | 2010.11.06 |
|---|---|
| PC보안 10계명 - 안철수 연구소 제공 (0) | 2010.09.16 |
| 효과적인 DDoS 방어를 위한 장비 트러스가드(TrusGuard) (2) | 2010.02.19 |
| Ddos 공격으로 서비스가 중지 되었을때 고려할 만한 좋은 방법 (0) | 2008.11.21 |
| 웹 해킹이 이루어졌는지 진단하는 방법 (0) | 2008.11.19 |
