对于CMS系统来说,安全性的重要可想而知!假如一个系统的功能再强大、再易用,假如安全性不好,那就是失败的产品。所以,动易开发团队在安全方面做了最大努力的工作。我们看动易CMS2007的新特性中有这么一项:
| 以下是引用片段: 全面提高的安全性 动易CMS 2007保留了动易CMS 2006成熟的安全防范措施,并且借助Asp.Net的特性和功能对各种攻击方式进行全方位的防范。 根据OWASP组织发布的2007年Web应用程序脆弱性10大排名统计,跨站脚本、注入漏洞、跨站请求伪造、信息泄露等几方面仍然是目前流行的攻击方式。动易CMS 2007针对每种攻击方式都制定了一套完整的防御方案,可以有效的抵制恶意用户对网站进行的攻击,提高网站的安全性 |
关于动易CMS2007的安全性,我们已经在/Blog/kuaibao/3050.html这篇文章中概述性讲过了。
写这篇文章的时候,开发团队将动易CMS 2007中用到的安全技术和手段做了一下小结。下面就是他们列出来的一份防范措施清单:
| 以下是引用片段: 1、密码保护: ●用户密码的MD5加密 ●利用密码强度限制,排除存在弱密码的可能性 ●后台登录启用验证码防止利用工具穷举破解密码 ●后台登录启用治理认证码(保存在.config文件中)加强密码保护的强度 2、输入验证: ●利用验证控件,对用户输入的数据进行类型、大小、范围的验证 3、访问限制: ●后台治理目录可以通过网站信息配置进行修改来防止攻击 ●全站和治理后台的IP访问限定功能可以实现访问范围的最小化 ●后台治理文件对访问用户身份的统一验证 ●从整体上限制直接输入地址或通过外部链接访问后台文件 4、注入漏洞攻击防范: ●使用类型安全的SQL参数化查询方式,从根本上解决SQL注入的问题 ●对于不能使用参数化查询的部分(比如in、like语句),使用严格的过滤函数进行过滤 ●限定URL的传递参数类型、数量、范围等来防止通过构造URL进行恶意攻击 5、跨站脚本攻击防范: ●对于不支持HTML标记的内容使用HTMLEncode进行编码 ●对于支持HTML标记的内容使用脚本过滤函数来过滤绝大部分可运行的脚本代码,作为防范的辅助措施 ●通过frame的安全属性security="restricted"来阻止脚本的运行(IE有效) ●使用Cookie的HttpOnly属性来防止Cookie通过脚本泄密(IE6 SP1以上、Firefox 3) 6、跨站请求伪造防范: ●禁止通过地址栏直接访问或者通过外部链接访问后台治理页面 ●通过设置ViewStateUserKey属性防止受到恶意用户的点击式攻击(对应Post方式) ●通过对链接追加安全验证码(HMACSHA1)防止跨站请求伪造(对应Get方式) 相关动易Cms教程:
|
。