FCKeditor는 기존의 게시판 프로그램에서 한 단계 진보한 게시판 에디터로서 글 작성 및 html 편집, 표 삽입 등이 가능하며 거의 모든 브라우저에서 적용이 가능하다.
현재 FCKeditor는 3.x 로 업그레이드 되면서 CKeditor로 변경되었으나, 아직 많은 곳에서 FCKeditor를 사용하고 있다.
업그레이드를 적용하고 시간이 지나면서 FCKeditor 공격에 대한 탐지는 확연히 줄었지만, 그럼에도 불구하고 현재까지 탐지되고 있는 공격패턴이다.
이는 경력자라면은 당연히 파악가능한 공격패턴이라도 신입입장에서는 간과할 수 있는 부분이기도하다.
FCKeditor 취약점이 OWASP 및 CVE에서 인기가 없어서 신입 입장에서는 실습 및 실무적으로 잘 알지 못하면 신입은 파악하기 힘들다. (본인도 그랬다.)
공식사이트 : http://ckeditor.com
FCkeditor 2.6.11 Ver : http://sourceforge.net/projects/fckeditor/files/
특징
- 자동으로 브라우저 종류(익스플로어, 모질라, 파이어폭스, 네스케이스 호환) 인식 및 커스터마이징 가능
- 관리자에게는 설치하기 쉽고 커스트마이징 가능
- 사용자 입장에서 용이한 사용방식
- 워드프로그램 복붙 인식, 링크, 이미지 삽입 가능, 폰트 지원 XHTML 1.0 지원, 등
발생 취약점 원인
1. FCKeditor 기본 디렉터리에 설치 할 경우
- 신규취약점 발생시 검색엔진을 이용한 무작위 공격 및 Web Shell 업로드 후 접근 가능
2. FCKeditor 샘플 파일을 삭제하지 않을 경우
- 파일업로드 및 기타 기능 정상작동 여부 체크를 위한 샘플파일 접근으로 인한 주요 설정 변경 가능성/WebShell 업로드 및 임의 디렉터리 생성/ 시스템 정보 노출 가능성
탐지 패턴
| 탐지 패턴 | |
| FCKeditor | /fck/editor/ |
| /FCKeditor/ | |
| /js/fckeditor/ | |
| /feditor/editor/ | |
| /fckeditor/editor/filemanager/browser/default/browser.html | |
| /fckeditor/editor/filemanager/connectors/test.html | |
| /fckeditor/editor/filemanager/connectors/uploadtest.html | |
| /editor/filemanager/browser/default/browser.html | |
| /editor/editor/filemanager/browser/default/browser.html | |
| /HtmlEditor/_samples/default.html |
|
| /FCKeditor/editor/filemanager/upload/test.html |
|
참고자료
https://taesun1114.tistory.com/entry/주요-Editor-샘플페이지-및-취약점-발생경로
'보안 > 보안관제' 카테고리의 다른 글
| msfvenom으로 제작된 ShellCode base64로 디버그 방법 (0) | 2020.09.05 |
|---|---|
| 제로보드 취약점 (0) | 2020.02.23 |
| ThinkPHP 원격코드 실행 취약점 (CVE-2018-20062) (0) | 2020.01.29 |
| IDS/IPS 이해 (0) | 2020.01.26 |
| IDS/IPS의 차이점 (2) | 2020.01.26 |
