KindEditor 是一套開源的在線HTML編輯器，主要用于讓用戶在網(wǎng)站上獲得所見即所得編輯效果，開發(fā)人員可以用 KindEditor 把傳統(tǒng)的多行文本輸入框(textarea)替換為可視化的富文本輸入框。KindEditor 使用 JavaScript 編寫，可以無縫地與 Java、.NET、PHP、ASP 等程序集成，比較適合在 CMS、商城、論壇、博客、Wiki、電子郵件等互聯(lián)網(wǎng)應(yīng)用上使用
在了解kindeditor漏洞之前我們需要先了解一下kindeditor。簡單的說，kindeditor是一款讓電腦用戶在網(wǎng)站上獲得“所見即所得”感受的可視化編輯器。它經(jīng)常應(yīng)用于商城、論壇、電子郵件、博客等應(yīng)用中，是國內(nèi)比較受歡迎的一款編輯器。
kindeditor漏洞是kindeditor美中不足的一面。它的優(yōu)點(diǎn)很多：體積小但功能強(qiáng)大，加載速度也特別快;它的所有功能都是基于插件的設(shè)計(jì)，使得它在自定義和擴(kuò)展方面輕而易舉，關(guān)于系統(tǒng)安裝步驟;它的風(fēng)格變換只需修改一個(gè)css文件即可;它最重要的優(yōu)點(diǎn)是支持大部分的瀏覽器。
kindeditor漏洞是指把kindeditor編輯代碼添加到數(shù)據(jù)庫時(shí)沒有問題，這些html代碼不會(huì)被執(zhí)行，但從數(shù)據(jù)庫里取出來再放到kindeditor軟件里進(jìn)行修改的時(shí)候，所修改的html代碼就被執(zhí)行了的情況，就會(huì)導(dǎo)致一些編程變成了超鏈接的形式。
 
 
如果攻擊者利用kindeditor漏洞的話，我們的網(wǎng)站信息安全就得不到保障了，這里有兩種比較簡單的解決方法。一是刪除/php/file_manger_json.php文件即可;二是在官方網(wǎng)站下載“加速樂”，它可以直接防御kindeditor漏洞，在源頭上消除kindeditor的漏洞。