電商安全談CMS Discuz等開(kāi)源建站程序漏洞防護(hù)
時(shí)間:2022-07-15 10:54:01 | 來(lái)源:建站知識(shí)
時(shí)間:2022-07-15 10:54:01 來(lái)源:建站知識(shí)
在中國(guó) 現(xiàn)在要做一個(gè)站長(zhǎng)很容易���,網(wǎng)上鋪天蓋地的開(kāi)源建站程序可以滿足您的任何需求;然而,做一個(gè)站長(zhǎng)又是那么的難���,網(wǎng)站每天都要面臨各種各樣已知未知的“威脅”,開(kāi)源的cms或者論壇程序固然好用��,然而用的人多�����,研究的人更多�,出現(xiàn)一個(gè)小小的漏洞,官方補(bǔ)丁打的不及時(shí)的話�,對(duì)一個(gè)網(wǎng)站來(lái)說(shuō),那就是滅頂之災(zāi)�。
好在多虧我們廣大的黑客圈朋友,要是沒(méi)有他們����,網(wǎng)絡(luò)恐怕也沒(méi)有現(xiàn)在這么安全��,我們的開(kāi)發(fā)商在被黑過(guò)無(wú)數(shù)次之后����,程序一次次的加固�,現(xiàn)在想找到一個(gè)discuz漏洞,或者phpcms的漏洞�,比登天的難度估計(jì)差不了多少;而在黑市,這些少數(shù)人掌握的漏洞利用程序的出售價(jià)也接近天價(jià)了�����。
現(xiàn)在的cms系統(tǒng)程序是越來(lái)越智能了����,大多數(shù)的開(kāi)發(fā)商學(xué)習(xí)了國(guó)外的插件模式,主程序開(kāi)發(fā)的非常簡(jiǎn)單�����,也就是一個(gè)框架����,然后把剩下的功能都做成模塊形式,用戶可以選擇性的使用這些功能�,這樣做的好處,一來(lái)可以使系統(tǒng)更加精簡(jiǎn);二來(lái)����,可以增強(qiáng)cms系統(tǒng)的靈活性和擴(kuò)展性;那么插件的使用是否有壞處呢?答案是肯定的,不僅有壞處����,而且可能會(huì)給站長(zhǎng)朋友帶來(lái)滅頂之災(zāi)!
玩過(guò)黑客的朋友都知道,想要黑一個(gè)網(wǎng)站�����,只需要找到這個(gè)網(wǎng)站所用程序的一個(gè)漏洞���,上傳一個(gè)webshell就能進(jìn)而控制整個(gè)網(wǎng)站���,而很多國(guó)內(nèi)的開(kāi)源cms程序,他們大多數(shù)的插件都是由用戶開(kāi)發(fā)上傳共享給大家的��,當(dāng)然����,分享是件好事��,然而��,某些別有用心的開(kāi)發(fā)者�����,比如黑客們����,制作了一些帶有后門(mén)的“特殊插件”��,然后發(fā)布到論壇��,等待著用戶的下載��,一旦用戶安裝并使用這些插件�,黑客們就可以通過(guò)內(nèi)置的后門(mén)程序控制整個(gè)網(wǎng)站!這有點(diǎn)像當(dāng)年傳播病毒的手法哦~:)
在綠盟的漏洞開(kāi)放平臺(tái),我們可以看到很多cms插件都存在各種各樣的問(wèn)題��,畢竟大多數(shù)的開(kāi)發(fā)者都是業(yè)余程序員�。
看看這個(gè)discuz插件,居然還存在簡(jiǎn)單的sql注入漏洞!簡(jiǎn)直是太恐怖了!國(guó)內(nèi)使用discuz做論壇的不下50W用戶���,哪怕1/3的用戶安裝了這個(gè)插件���,我們都不敢想象會(huì)出現(xiàn)什么樣的結(jié)果...
作為搞電商的站長(zhǎng)朋友��,我們?cè)撊绾晤A(yù)防插件漏洞對(duì)網(wǎng)站的影響呢?
首先,不要盲目下載各類插件�。不要看到新插件就圖新鮮下載下來(lái)測(cè)試,這些新插件都沒(méi)有經(jīng)過(guò)嚴(yán)格的測(cè)試就發(fā)布出來(lái)了�����,就算沒(méi)有漏洞���,萬(wàn)一對(duì)你數(shù)據(jù)庫(kù)造成破壞那也不好吧~
其次�,盡量下載大量用戶使用的插件����。葛優(yōu)說(shuō)過(guò),哪家人多我選哪家����,插件也是一樣,那些經(jīng)久不衰����,歷經(jīng)大家考驗(yàn)的插件�,肯定是好插件���,下載它吧����,錯(cuò)不了!
再者��,不要到不知名的軟件下載網(wǎng)站下載插件�,盡量到官方網(wǎng)站下載認(rèn)證過(guò)的插件。電商圈下載博客插件都是去官方網(wǎng)站下載�,最起碼官方不會(huì)坑咱吧
最后,在這里對(duì)國(guó)內(nèi)的開(kāi)發(fā)商們說(shuō)一聲�����,對(duì)網(wǎng)站插件要進(jìn)行定期檢測(cè)公布管理����,甚至可以組織網(wǎng)站程序員對(duì)插件進(jìn)行安全檢測(cè),為用戶提供這樣的安全服務(wù)���,又可以為自己創(chuàng)造效益�����,雙贏的事��,何樂(lè)而不為呢?學(xué)習(xí)下wordpress�����,現(xiàn)在有30000多個(gè)插件了��,但是他們把每一個(gè)插件都經(jīng)過(guò)嚴(yán)格認(rèn)證后才發(fā)布到官方網(wǎng)站上!這種精神難道不值得所有國(guó)內(nèi)開(kāi)發(fā)商學(xué)習(xí)嗎!
在這里也給各位小黑老黑們說(shuō)聲:做站長(zhǎng)的����,起的比雞早���,睡的比狗晚���,每天累死累活的更新網(wǎng)站,只求解決個(gè)溫飽問(wèn)題�,一旦被人黑了網(wǎng)站,連飯都沒(méi)得吃�����,這些人都是在用自己的生命賺錢(qián),賺小錢(qián)養(yǎng)家糊口�����,都是窮苦百姓����,還希望你們能高抬貴手,放過(guò)這群可憐的草根們吧!
ibxboy�,首發(fā)電商圈博客
關(guān)鍵詞:程序,防護(hù),漏洞,安全
在線咨詢
