快捷搜索:   nginx

电商安全谈cms,discuz等开源建站程序漏洞防护

在中国 现在要做一个站长很容易,网上铺天盖地的开源建站程序可以满足您的任何需求;然而,做一个站长又是那么的难,网站每天都要面临各种各样已知未知的“威胁”,开源的cms或者论坛程序固然好用,然而用的人多,研究的人更多,出现一个小小的漏洞,官方补丁打的不及时的话,对一个网站来说,那就是灭顶之灾。

好在多亏我们广大的黑客圈朋友,要是没有他们,网络恐怕也没有现在这么安全,我们的开发商在被黑过无数次之后,程序一次次的加固,现在想找到一个discuz漏洞,或者phpcms的漏洞,比登天的难度估计差不了多少;而在黑市,这些少数人掌握的漏洞利用程序的出售价也接近天价了。

现在的cms系统程序是越来越智能了,大多数的开发商学习了国外的插件模式,主程序开发的非常简单,也就是一个框架,然后把剩下的功能都做成模块形式,用户可以选择性的使用这些功能,这样做的好处,一来可以使系统更加精简;二来,可以增强cms系统的灵活性和扩展性;那么插件的使用是否有坏处呢?答案是肯定的,不仅有坏处,而且可能会给站长朋友带来灭顶之灾!

玩过黑客的朋友都知道,想要黑一个网站,只需要找到这个网站所用程序的一个漏洞,上传一个webshell就能进而控制整个网站,而很多国内的开源cms程序,他们大多数的插件都是由用户开发上传共享给大家的,当然,分享是件好事,然而,某些别有用心的开发者,比如黑客们,制作了一些带有后门的“特殊插件”,然后发布到论坛,等待着用户的下载,一旦用户安装并使用这些插件,黑客们就可以通过内置的后门程序控制整个网站!这有点像当年传播病毒的手法哦~:)

在绿盟的漏洞开放平台,我们可以看到很多cms插件都存在各种各样的问题,毕竟大多数的开发者都是业余程序员。

 

看看这个discuz插件,居然还存在简单的sql注入漏洞!简直是太恐怖了!国内使用discuz做论坛的不下50W用户,哪怕1/3的用户安装了这个插件,我们都不敢想象会出现什么样的结果...

 

作为搞电商的站长朋友,我们该如何预防插件漏洞对网站的影响呢?

首先,不要盲目下载各类插件。不要看到新插件就图新鲜下载下来测试,这些新插件都没有经过严格的测试就发布出来了,就算没有漏洞,万一对你数据库造成破坏那也不好吧~

其次,尽量下载大量用户使用的插件。葛优说过,哪家人多我选哪家,插件也是一样,那些经久不衰,历经大家考验的插件,肯定是好插件,下载它吧,错不了!

再者,不要到不知名的软件下载网站下载插件,尽量到官方网站下载认证过的插件。电商圈下载博客插件都是去官方网站下载,最起码官方不会坑咱吧

最后,在这里对国内的开发商们说一声,对网站插件要进行定期检测公布管理,甚至可以组织网站程序员对插件进行安全检测,为用户提供这样的安全服务,又可以为自己创造效益,双赢的事,何乐而不为呢?学习下wordpress,现在有30000多个插件了,但是他们把每一个插件都经过严格认证后才发布到官方网站上!这种精神难道不值得所有国内开发商学习吗!

在这里也给各位小黑老黑们说声:做站长的,起的比鸡早,睡的比狗晚,每天累死累活的更新网站,只求解决个温饱问题,一旦被人黑了网站,连饭都没得吃,这些人都是在用自己的生命赚钱,赚小钱养家糊口,都是穷苦百姓,还希望你们能高抬贵手,放过这群可怜的草根们吧!

ibxboy,首发电商圈博客http://www.ibxboy.com

 

顶(2)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论