打造史上最安全的动易2005 SP2版_动易Cms教程

编辑Tag赚U币
教程Tag:暂无Tag,欢迎添加,赚取U币!


动易网站治理系统》2005 SP2版在安全性方面可以说是空前安全,原因有以下几个方面:

1、全面的系统安全检测:
  动易公司这次推迟一周时间发布动易2005 SP2版,这一周时间,10名开发人员的工作只有一个:再次认真检查每一行代码,检查每个要提交到查询语句中的变量,看其是否已经过过滤,以确保SP2中绝对没有一个SQL注入点。我们以这么多时间和人力单独检查系统的安全性,目的只有一个:对每一位动易用户所信赖和使用系统的安全负责。

2、上传文件功能的的改进:
  (1)黑名单类型增加到26种,确保不可能直接上传这些文件。
  (2)对扩展名做了严格限制,只答应26个英文字母+10个数字,而主文件名是系统生成的,所以确保黑客不可能通过各种方式在上传过程中出现ASP之类的文件。
  (3)在利用动易系统上传文件后,系统会对当前上传目录进行扫描,一旦发现26个黑名单类型中的文件则立即删除。布下了最后一道不可能突破的关口(除了不用动易系统上传功能来上传文件)。

3、新增治理认证码功能:
  我们也考虑到了万一前台存在着SQL注入漏洞(一般是用户自己写的ASP程序或其他程序存在的漏洞),让黑客通过注入漏洞得到了超级治理员密码(ACCESS数据库)或修改了超级治理员密码(SQL数据库),(假如只是得到治理员密码的MD5加密值,是没有多大用途的,除非治理员密码超级简单,可以被暴力破解,因为动易对cookie欺骗做了严格的防护),黑客也不能进入后台!因为动易2005 SP2版增加了一个新功能:治理认证码!
  启用治理认证码的方法:
  修改Admin/Admin_ChkCode.asp文件中的以下内容:
  Const EnableSiteManageCode = False '是否启用后台治理认证码,True为启用,False为不启用
  Const SiteManageCode = "PowerEasy2005" '后台治理认证码

  当您启用治理认证码功能后,治理员要进入后台时除了要输入用户名、密码、验证码外,还要输入治理认证码。这个治理认证码是存放在ASP文件(Admin/Admin_ChkCode.asp)中。除非攻击者扔有了FTP权限,或者已经得到了WebShell权限(即可以通过Web查看、修改、删除服务器上的文件),否则攻击者是不可能知道这个认证码的。


最后,给大家几个忠告:

  1、千万不要随意安装其他非动易官方开发的插件类程序。因为经过我们的检测,目前发布的插件等还没有一个做了严格的SQL注入防护工作的。安装目前发布的任何一个插件,都有可能让黑客轻而易举的通过插件程序来进入SQL注入攻击,从而得到治理员密码。

  2、自己开发的相关程序在还没有经过严格的安全检测前,千万不要放在正式网站中运行。许朋友在动易基础上自己开发的程序时,只关注了功能可以实现,却没有对安全性、稳定性做应用的保护,导致安全漏洞几乎随处可见。不要以为没有公布的程序黑客就不知道漏洞所在。现在漏洞检测工具已经比较“智能”,只要提供文件名和提交给文件的URL参数,即可自动进行各种猜测与攻击。假如您没有在自己的程序中做好SQL注入防护,检测工具可以轻而易举的找出您程序中的漏洞。动易2005 SP1中的User_Message.asp中存在的漏洞就是在动易没有开源的情况下,被黑客找出来的。

  3、正式运行的网站上千万不要安装过多的系统。目前网上各种系统鱼龙混杂。80%的系统并没有像动易与动网等几个知名系统一样对安全性是如此重视,这些系统(包括许多相对比较知名的系统)在安全性上几乎都存在着严重的漏洞。不过因为使用的人相对比较少,黑客对此并不关注,所以公布的相对较少,但这并不意味着这些系统就是安全的。就拿商城系统来说,通过我们研究的10几个商城系统来看,每一个系统我们都可以轻而易举的找到其注入漏洞。多安装一个系统,就给您的网站多带来一份安全风险。网站上安装的多个系统中,只要有一个系统有安全漏洞,其他系统再安全也没有用。

查看更多 动易Cms教程  动易Cms模板

共2页上一页12下一页
来源:模板无忧//所属分类:动易Cms教程/更新时间:2005-12-11
相关动易Cms教程