南瓜园

 找回密码
 注册
查看: 1056|回复: 0

终于找到网站老被挂马的原因了

[复制链接]
发表于 2011-6-4 10:22:54 | 显示全部楼层 |阅读模式
作网站, 安全非常重要,如果老被黑,给挂马,那可糟糕,但是,糟糕的事情似乎是与身俱来的,被黑这种事,总是挥之不去,不管我怎么搞,换主机空间,总被黑,空间商告诉我,说我用的程序有漏洞,我又找程序开发商,说空间安全性不好,晕倒,这让我等日子怎么过呀。
   我也配置过服务器,主机空间如果还有防火墙的话,安全应该不是大问题,我又看一些安全方面的资料,这些文章说网站被入侵,多数还是由于网站使用的管理程序不安全造成的。众所周知,现在都不再作静态页了,都要用网站的后台程序,就是CMS,用了CMS之后,作网站是方便了,管理也容易了,可问题也来了,如果CMS程序的编写有问题,是由一些不懂安全的人写的程序的话,你的网站就也对黑客打开大门了,我在网站找了一下,针对网站挂马的工具那个多呀。绝大多数是ASP的, 看来ASP的安全性实在不行。
   ASP的不行,我换了ASP.NET的,我用了风讯的后台,可是还是被黑,给挂马,打电话给风讯,对方说程序完全没问题,难道就真的没问题了吗?我又不会写程序,这个难到了我,工夫不负心人,一次偶然的机会,我看到了海南航空公司他们的网站安全测试报告,看起来很专业,找到了很多网站的安全漏洞,我再看这个报告,是用 IBM Rational AppScan 生成的, 这下好了,我也去找找这个东东,一找, 好家伙,IBM出的,7.8版有中文版,看在IBM的名头,我想这个软件肯定很厉害,蓝色巨人出品呀(大家不要认为我是IBM的枪手,IBM可看不上我),那我就用这个来测试一下,看看风讯到底是不是这个公司说的这样安全,这个软件很简单,我用了风讯官方网站上演示来测试, 不然他说我是故意把系统改得不安全测试的。测结果如下图:

看看, 大量的高危安全漏洞。SQL注入,SQL盲注,怪不得我的数据库都给搞坏了,给写了一些挂马的东西进去, 原来这个这么多SQL注入漏洞。看来我用风讯来作网站是完全错误的, 被黑是正常的,不被黑是偶然的。看到这么多的红色感叹号,我彻底无语。
   我立即想到,国内的CMS开发商这么多,不用风讯还有很多其它的选择呀,我试试动易吧,国内名气这么大,后来证实,试动易是一个非常笨的行动,不知道什么原因,要检测完动易,这个软件要花的时间太多太多了,我开机苦等了十多个小时, 才测试了不到1/3的进程, 在这1/3中,也检测到一些安全漏洞,有一个大红色感叹号,我还是用官方提供的演示来测试的,看来动易的安全性还是值得怀疑。

动易在差不多1/4的过程中,检测到1个高危漏洞,3个普通漏洞,73个一般问题 , 1132条普通信息。我实在没有耐心等下去了,就先检测这些算了。反正动易也不可靠。
  动易不行,我再试试“网站快车”吧,看介绍,这套后台在安全方面采用了不少措施,我得看看他能不能通过IBM Rational AppScan的检测,我和快车的网站客服人员联系后,得到了他们的演示地址,后台的用户名和密码,作测试后,得到下面的测试结果:

这个扫描结果看来终于消灭了红色的感叹号。但有12个橙色的感叹号,我感觉这个可以谈一谈,于是打电话问对方这个已解密的登录请求是什么意思, 对方开发人员回答,这是用户登录时,用文本框直接提交数据,这个数据在网络上是明文传输,实际上不对网站安全有影响。我暂且相信对方的回答,没有看到有高危安全问题,让我很感到满意, 我想以后作网站,就用这个了。
  如果仔细看这个网站快车的后台,作得很不错,人性化,界面十分漂亮,操作很方便,功能很多,几乎是我用过的网站后台中,作得最好的,看看他的后台界面
 


WEB OS风格的,够漂亮吧, 对了,现在的WEB QQ, 也搞了一个WEBOS风格的东东,看来快车系统还被中国的山赛王腾讯盯上了,被腾讯盯上的东西,可都是精品呀,但我试了一下,WEB QQ的运行流畅程度,比网站快车的这个WEB OS的流畅程度差得多,并且功能远没有网站快车复杂,看来快车系统在技术上确实很有一套,至少在作WEB OS方面,我认为网站快车的技术比腾讯要牛,但版面设计,没有腾讯的好看,快车的美工应该加油了,怎么能上山寨的超过原版呀。
看看腾讯山寨的WEB OS
您需要登录后才可以回帖 登录 | 注册

本版积分规则

请大家牢记南瓜园网址 www.nan2008.com

QQ|小黑屋|手机版|Archiver|南瓜园

GMT+8, 2024-11-12 05:35 , Processed in 0.106541 second(s), 20 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表