目录
目录X

打造史上最安全的动易2005SP2版


《动易网站管理系统》2005 SP2版在安全性方面可以说是空前安全,原因有以下几个方面:

1、全面的系统安全检测:
  动易公司这次推迟一周时间发布动易2005 SP2版,这一周时间,10名开发人员的工作只有一个:再次认真检查每一行代码,检查每个要提交到查询语句中的变量,看其是否已经过过滤,以确保SP2中绝对没有一个SQL注入点。我们以这么多时间和人力单独检查系统的安全性,目的只有一个:对每一位动易用户所信赖和使用系统的安全负责。

2、上传文件功能的的改进:
  (1)黑名单类型增加到26种,确保不可能直接上传这些文件。
  (2)对扩展名做了严格限制,只允许26个英文字母+10个数字,而主文件名是系统生成的,所以确保黑客不可能通过各种方式在上传过程中出现ASP之类的文件。
  (3)在利用动易系统上传文件后,系统会对当前上传目录进行扫描,一旦发现26个黑名单类型中的文件则立即删除。布下了最后一道不可能突破的关口(除了不用动易系统上传功能来上传文件)。

3、新增管理认证码功能:
  我们也考虑到了万一前台存在着SQL注入漏洞(一般是用户自己写的ASP程序或其他程序存在的漏洞),让黑客通过注入漏洞得到了超级管理员密码(ACCESS数据库)或修改了超级管理员密码(SQL数据库),(如果只是得到管理员密码的MD5加密值,是没有多大用途的,除非管理员密码超级简单,可以被暴力破解,因为动易对cookie欺骗做了严格的防护),黑客也不能进入后台!因为动易2005 SP2版增加了一个新功能:管理认证码!
  启用管理认证码的方法:
  修改Admin/Admin_ChkCode.asp文件中的以下内容:
  Const EnableSiteManageCode = False '是否启用后台管理认证码,True为启用,False为不启用
  Const SiteManageCode = "PowerEasy2005" '后台管理认证码

  当您启用管理认证码功能后,管理员要进入后台时除了要输入用户名、密码、验证码外,还要输入管理认证码。这个管理认证码是存放在ASP文件(Admin/Admin_ChkCode.asp)中。除非攻击者扔有了FTP权限,或者已经得到了WebShell权限(即可以通过Web查看、修改、删除服务器上的文件),否则攻击者是不可能知道这个认证码的。


最后,给大家几个忠告:

  1、千万不要随意安装其他非动易官方开发的插件类程序。因为经过我们的检测,目前发布的插件等还没有一个做了严格的SQL注入防护工作的。安装目前发布的任何一个插件,都有可能让黑客轻而易举的通过插件程序来进入SQL注入攻击,从而得到管理员密码。

  2、自己开发的相关程序在还没有经过严格的安全检测前,千万不要放在正式网站中运行。许朋友在动易基础上自己开发的程序时,只关注了功能可以实现,却没有对安全性、稳定性做应用的保护,导致安全漏洞几乎随处可见。不要以为没有公布的程序黑客就不知道漏洞所在。现在漏洞检测工具已经比较“智能”,只要提供文件名和提交给文件的URL参数,即可自动进行各种猜测与攻击。如果您没有在自己的程序中做好SQL注入防护,检测工具可以轻而易举的找出您程序中的漏洞。动易2005 SP1中的User_Message.asp中存在的漏洞就是在动易没有开源的情况下,被黑客找出来的。

  3、正式运行的网站上千万不要安装过多的系统。目前网上各种系统鱼龙混杂。80%的系统并没有像动易与动网等几个知名系统一样对安全性是如此重视,这些系统(包括许多相对比较知名的系统)在安全性上几乎都存在着严重的漏洞。不过因为使用的人相对比较少,黑客对此并不关注,所以公布的相对较少,但这并不意味着这些系统就是安全的。就拿商城系统来说,通过我们研究的10几个商城系统来看,每一个系统我们都可以轻而易举的找到其注入漏洞。多安装一个系统,就给您的网站多带来一份安全风险。网站上安装的多个系统中,只要有一个系统有安全漏洞,其他系统再安全也没有用。

  4、安全是一个系统工程。不仅仅是和您所使用的WEB程序有关,还和您的服务器的安全配置密切相关。拿动易来说,黑客几乎不可能通过动易来控制您的网站了,但攻击者还可以通过FTP、通过直接攻击服务器取得控制权等方式来控制您的服务器。

  5、如果不是自己的服务器,找空间时要尽量找大的主机商!一些小的主机商的技术与安全技术不够,配置的服务器的安全性令人担忧。将自己的网站放在安全性做得不够周全的服务器上,就算您使用的系统再安全也是没用。

  6、如果可能,尽量不要在服务器上放多个网站,或不要与别人共享同一台服务器。共享同一台服务器时,就算您的网站没有任何安全漏洞,但不能保证同一台服务器上的其他网站没有安全问题,如果其他网站有安全问题,那么您的网站也根本安全不起来。简单一点,现在的黑客完全可以通过旁注等方式黑掉您的站点。复杂一点,当黑客高手通过同一台服务器上的另一个网站的安全漏洞得到了服务器的控制权,您的网站还是落在了攻击者的掌控之中。

  在此,动易团队所有成员真挚感谢所有为动易系统的发展献计献策和对动易系统安全检测作出努力的朋友们!!

【打印正文】 发布时间:2005-08-07 14:13:05 浏览次数: 作者:webboy 来源:本站原创
×

用户登录