电商安全谈CMS Discuz等开源建站程序漏洞防护
在中国现在要做一个站长很容易,网上铺天盖地的开源建站程序可以满足您的任何需求;然而,做一个站长又是那么的难,网站每天都要面临各种各样已知未知的“威胁”,开源的cms或者论坛程序固然好用,然而用的人多,研究的人更多,出现一个小小的漏洞,官方补丁打的不及时的话,对一个网站来说,那就是灭顶之灾。
好在多亏我们广大的黑客圈朋友,要是没有他们,网络恐怕也没有现在这么安全,我们的开发商在被黑过无数次之后,程序一次次的加固,现在想找到一个discuz漏洞,或者phpcms的漏洞,比登天的难度估计差不了多少;而在黑市,这些少数人掌握的漏洞利用程序的出售价也接近天价了。
现在的cms系统程序是越来越智能了,大多数的开发商学习了国外的插件模式,主程序开发的非常简单,也就是一个框架,然后把剩下的功能都做成模块形式,用户可以选择性的使用这些功能,这样做的好处,一来可以使系统更加精简;二来,可以增强cms系统的灵活性和扩展性;那么插件的使用是否有坏处呢?答案是肯定的,不仅有坏处,而且可能会给站长朋友带来灭顶之灾!
玩过黑客的朋友都知道,想要黑一个网站,只需要找到这个网站所用程序的一个漏洞,上传一个webshell就能进而控制整个网站,而很多国内的开源cms程序,他们大多数的插件都是由用户开发上传共享给大家的,当然,分享是件好事,然而,某些别有用心的开发者,比如黑客们,制作了一些带有后门的“特殊插件”,然后发布到论坛,等待着用户的下载,一旦用户安装并使用这些插件,黑客们就可以通过内置的后门程序控制整个网站!这有点像当年传播病毒的手法哦~:)
在绿盟的漏洞开放平台,我们可以看到很多cms插件都存在各种各样的问题,毕竟大多数的开发者都是业余程序员。