《動(dòng)易網(wǎng)站治理系統(tǒng)》2005 SP2版在安全性方面可以說(shuō)是空前安全���,原因有以下幾個(gè)方面:
1、全面的系統(tǒng)安全檢測(cè):
動(dòng)易公司這次推遲一周時(shí)間發(fā)布動(dòng)易2005 SP2版�����,這一周時(shí)間����,10名開(kāi)發(fā)人員的工作只有一個(gè):再次認(rèn)真檢查每一行代碼,檢查每個(gè)要提交到查詢(xún)語(yǔ)句中的變量,看其是否已經(jīng)過(guò)過(guò)濾,以確保SP2中絕對(duì)沒(méi)有一個(gè)SQL注入點(diǎn)。我們以這么多時(shí)間和人力單獨(dú)檢查系統(tǒng)的安全性,目的只有一個(gè):對(duì)每一位動(dòng)易用戶(hù)所信賴(lài)和使用系統(tǒng)的安全負(fù)責(zé)。
2、上傳文件功能的的改進(jìn):
?��。?)黑名單類(lèi)型增加到26種,確保不可能直接上傳這些文件。
?���。?)對(duì)擴(kuò)展名做了嚴(yán)格限制���,只答應(yīng)26個(gè)英文字母+10個(gè)數(shù)字���,而主文件名是系統(tǒng)生成的��,所以確保黑客不可能通過(guò)各種方式在上傳過(guò)程中出現(xiàn)ASP之類(lèi)的文件����。
?����。?)在利用動(dòng)易系統(tǒng)上傳文件后��,系統(tǒng)會(huì)對(duì)當(dāng)前上傳目錄進(jìn)行掃描,一旦發(fā)現(xiàn)26個(gè)黑名單類(lèi)型中的文件則立即刪除�。布下了最后一道不可能突破的關(guān)口(除了不用動(dòng)易系統(tǒng)上傳功能來(lái)上傳文件)。
3、新增治理認(rèn)證碼功能:
我們也考慮到了萬(wàn)一前臺(tái)存在著SQL注入漏洞(一般是用戶(hù)自己寫(xiě)的ASP程序或其他程序存在的漏洞),讓黑客通過(guò)注入漏洞得到了超級(jí)治理員密碼(ACCESS數(shù)據(jù)庫(kù))或修改了超級(jí)治理員密碼(SQL數(shù)據(jù)庫(kù))����,(假如只是得到治理員密碼的MD5加密值�����,是沒(méi)有多大用途的,除非治理員密碼超級(jí)簡(jiǎn)單�����,可以被暴力破解�����,因?yàn)閯?dòng)易對(duì)cookie欺騙做了嚴(yán)格的防護(hù))�,黑客也不能進(jìn)入后臺(tái)����!因?yàn)閯?dòng)易2005 SP2版增加了一個(gè)新功能:治理認(rèn)證碼!
啟用治理認(rèn)證碼的方法:
修改Admin/Admin_ChkCode.asp文件中的以下內(nèi)容:
Const EnableSiteManageCode = False '是否啟用后臺(tái)治理認(rèn)證碼����,True為啟用��,F(xiàn)alse為不啟用
Const SiteManageCode = "PowerEasy2005" '后臺(tái)治理認(rèn)證碼
當(dāng)您啟用治理認(rèn)證碼功能后,治理員要進(jìn)入后臺(tái)時(shí)除了要輸入用戶(hù)名、密碼��、驗(yàn)證碼外�����,還要輸入治理認(rèn)證碼�。這個(gè)治理認(rèn)證碼是存放在ASP文件(Admin/Admin_ChkCode.asp)中���。除非攻擊者扔有了FTP權(quán)限�,或者已經(jīng)得到了WebShell權(quán)限(即可以通過(guò)Web查看����、修改、刪除服務(wù)器上的文件)��,否則攻擊者是不可能知道這個(gè)認(rèn)證碼的��。
最后����,給大家?guī)讉€(gè)忠告:
1����、千萬(wàn)不要隨意安裝其他非動(dòng)易官方開(kāi)發(fā)的插件類(lèi)程序。因?yàn)榻?jīng)過(guò)我們的檢測(cè)�,目前發(fā)布的插件等還沒(méi)有一個(gè)做了嚴(yán)格的SQL注入防護(hù)工作的����。安裝目前發(fā)布的任何一個(gè)插件���,都有可能讓黑客輕而易舉的通過(guò)插件程序來(lái)進(jìn)入SQL注入攻擊,從而得到治理員密碼�����。
2�、自己開(kāi)發(fā)的相關(guān)程序在還沒(méi)有經(jīng)過(guò)嚴(yán)格的安全檢測(cè)前,千萬(wàn)不要放在正式網(wǎng)站中運(yùn)行�。許朋友在動(dòng)易基礎(chǔ)上自己開(kāi)發(fā)的程序時(shí)����,只關(guān)注了功能可以實(shí)現(xiàn)��,卻沒(méi)有對(duì)安全性、穩(wěn)定性做應(yīng)用的保護(hù)�����,導(dǎo)致安全漏洞幾乎隨處可見(jiàn)�。不要以為沒(méi)有公布的程序黑客就不知道漏洞所在。現(xiàn)在漏洞檢測(cè)工具已經(jīng)比較“智能”�,只要提供文件名和提交給文件的URL參數(shù)����,即可自動(dòng)進(jìn)行各種猜測(cè)與攻擊��。假如您沒(méi)有在自己的程序中做好SQL注入防護(hù)���,檢測(cè)工具可以輕而易舉的找出您程序中的漏洞�。動(dòng)易2005 SP1中的User_Message.asp中存在的漏洞就是在動(dòng)易沒(méi)有開(kāi)源的情況下�,被黑客找出來(lái)的。
3��、正式運(yùn)行的網(wǎng)站上千萬(wàn)不要安裝過(guò)多的系統(tǒng)�����。目前網(wǎng)上各種系統(tǒng)魚(yú)龍混雜�。80%的系統(tǒng)并沒(méi)有像動(dòng)易與動(dòng)網(wǎng)等幾個(gè)知名系統(tǒng)一樣對(duì)安全性是如此重視��,這些系統(tǒng)(包括許多相對(duì)比較知名的系統(tǒng))在安全性上幾乎都存在著嚴(yán)重的漏洞���。不過(guò)因?yàn)槭褂玫娜讼鄬?duì)比較少����,黑客對(duì)此并不關(guān)注����,所以公布的相對(duì)較少���,但這并不意味著這些系統(tǒng)就是安全的����。就拿商城系統(tǒng)來(lái)說(shuō),通過(guò)我們研究的10幾個(gè)商城系統(tǒng)來(lái)看�,每一個(gè)系統(tǒng)我們都可以輕而易舉的找到其注入漏洞��。多安裝一個(gè)系統(tǒng),就給您的網(wǎng)站多帶來(lái)一份安全風(fēng)險(xiǎn)���。網(wǎng)站上安裝的多個(gè)系統(tǒng)中,只要有一個(gè)系統(tǒng)有安全漏洞�����,其他系統(tǒng)再安全也沒(méi)有用����。
