《動易網(wǎng)站治理系統(tǒng)》2005 SP2版在安全性方面可以說是空前安全，原因有以下幾個方面：

1、全面的系統(tǒng)安全檢測：
　　動易公司這次推遲一周時間發(fā)布動易2005 SP2版，這一周時間，10名開發(fā)人員的工作只有一個：再次認(rèn)真檢查每一行代碼，檢查每個要提交到查詢語句中的變量，看其是否已經(jīng)過過濾，以確保SP2中絕對沒有一個SQL注入點(diǎn)。我們以這么多時間和人力單獨(dú)檢查系統(tǒng)的安全性，目的只有一個：對每一位動易用戶所信賴和使用系統(tǒng)的安全負(fù)責(zé)。

2、上傳文件功能的的改進(jìn)：
　�。�1）黑名單類型增加到26種，確保不可能直接上傳這些文件。
　�。�2）對擴(kuò)展名做了嚴(yán)格限制，只答應(yīng)26個英文字母＋10個數(shù)字，而主文件名是系統(tǒng)生成的，所以確保黑客不可能通過各種方式在上傳過程中出現(xiàn)ASP之類的文件。
　�。�3）在利用動易系統(tǒng)上傳文件后，系統(tǒng)會對當(dāng)前上傳目錄進(jìn)行掃描，一旦發(fā)現(xiàn)26個黑名單類型中的文件則立即刪除。布下了最后一道不可能突破的關(guān)口（除了不用動易系統(tǒng)上傳功能來上傳文件）。

3、新增治理認(rèn)證碼功能：
　　我們也考慮到了萬一前臺存在著SQL注入漏洞（一般是用戶自己寫的ASP程序或其他程序存在的漏洞），讓黑客通過注入漏洞得到了超級治理員密碼（ACCESS數(shù)據(jù)庫）或修改了超級治理員密碼（SQL數(shù)據(jù)庫），（假如只是得到治理員密碼的MD5加密值，是沒有多大用途的，除非治理員密碼超級簡單，可以被暴力破解，因?yàn)閯右讓�cookie欺騙做了嚴(yán)格的防護(hù)），黑客也不能進(jìn)入后臺！因?yàn)閯右?005 SP2版增加了一個新功能：治理認(rèn)證碼！
　　啟用治理認(rèn)證碼的方法：
　　修改Admin/Admin_ChkCode.asp文件中的以下內(nèi)容：
　　Const EnableSiteManageCode = False '是否啟用后臺治理認(rèn)證碼，True為啟用，F(xiàn)alse為不啟用
　　Const SiteManageCode = "PowerEasy2005" '后臺治理認(rèn)證碼
　　當(dāng)您啟用治理認(rèn)證碼功能后，治理員要進(jìn)入后臺時除了要輸入用戶名、密碼、驗(yàn)證碼外，還要輸入治理認(rèn)證碼。這個治理認(rèn)證碼是存放在ASP文件（Admin/Admin_ChkCode.asp）中。除非攻擊者扔有了FTP權(quán)限，或者已經(jīng)得到了WebShell權(quán)限（即可以通過Web查看、修改、刪除服務(wù)器上的文件），否則攻擊者是不可能知道這個認(rèn)證碼的。

最后，給大家?guī)讉�忠告：

　　1、千萬不要隨意安裝其他非動易官方開發(fā)的插件類程序。因?yàn)榻?jīng)過我們的檢測，目前發(fā)布的插件等還沒有一個做了嚴(yán)格的SQL注入防護(hù)工作的。安裝目前發(fā)布的任何一個插件，都有可能讓黑客輕而易舉的通過插件程序來進(jìn)入SQL注入攻擊，從而得到治理員密碼。

　　2、自己開發(fā)的相關(guān)程序在還沒有經(jīng)過嚴(yán)格的安全檢測前，千萬不要放在正式網(wǎng)站中運(yùn)行。許朋友在動易基礎(chǔ)上自己開發(fā)的程序時，只關(guān)注了功能可以實(shí)現(xiàn)，卻沒有對安全性、穩(wěn)定性做應(yīng)用的保護(hù)，導(dǎo)致安全漏洞幾乎隨處可見。不要以為沒有公布的程序黑客就不知道漏洞所在。現(xiàn)在漏洞檢測工具已經(jīng)比較“智能”，只要提供文件名和提交給文件的URL參數(shù)，即可自動進(jìn)行各種猜測與攻擊。假如您沒有在自己的程序中做好SQL注入防護(hù)，檢測工具可以輕而易舉的找出您程序中的漏洞。動易2005 SP1中的User_Message.asp中存在的漏洞就是在動易沒有開源的情況下，被黑客找出來的。

　　3、正式運(yùn)行的網(wǎng)站上千萬不要安裝過多的系統(tǒng)。目前網(wǎng)上各種系統(tǒng)魚龍混雜。80%的系統(tǒng)并沒有像動易與動網(wǎng)等幾個知名系統(tǒng)一樣對安全性是如此重視，這些系統(tǒng)（包括許多相對比較知名的系統(tǒng)）在安全性上幾乎都存在著嚴(yán)重的漏洞。不過因?yàn)槭褂玫娜讼鄬Ρ容^少，黑客對此并不關(guān)注，所以公布的相對較少，但這并不意味著這些系統(tǒng)就是安全的。就拿商城系統(tǒng)來說，通過我們研究的10幾個商城系統(tǒng)來看，每一個系統(tǒng)我們都可以輕而易舉的找到其注入漏洞。多安裝一個系統(tǒng)，就給您的網(wǎng)站多帶來一份安全風(fēng)險。網(wǎng)站上安裝的多個系統(tǒng)中，只要有一個系統(tǒng)有安全漏洞，其他系統(tǒng)再安全也沒有用。

查看更多 動易Cms教程  動易Cms模板