笑笑动易的家伙

www.hx99.org 阅读: 时间:2007-07-09 整理:华西黑盟
------------------------------------------------------------------

 来源:安全天使'sblog

以下是他们所谓的2006要将在2007保存的安全措施。

1.用户密码等关键数据采用MD5不可逆加密后保存；
2.后台启用验证码和认证码；
3.后台Admin目录可以更改目录名；
4.禁止直接访问和外部链接到后台页面；
5.Access数据库防下载功能；
6.对上传文件类型进行检查，并删除黑名单中列出类型的文件；
7.对非HTML的表单进行编码后再存入数据库；
8.对SQL查询语句中的查询参数进行过滤。

打击一下：
1.第一点我笑笑就是，免得把他们教乖了怎么做。
2.那个认证码也就是采用的老式的网页内的密码而已。那个什么图片验证码，之容易认出来。今天刚好就做了一个反动易验证码的小东西出来。也不说怎么解决，免得教乖了。
3.设置这个功能似乎也是没办法的事。
4.之容易绕过。
5.………………access都是免费用户，动易对免费用户的不负责任大家心知肚明，有必要下载数据库吗？
6.黑名单？看看就知道。自欺欺人的做法而已。只有4-5个后缀加入了黑名单，但是实际上一般2k3的主机会解析的可能会有伤害的后缀名，大家自己去看。。
7.除了增大一点数据库，没看出来有什么用？
8.过滤了小部分吧，呵呵。

动易最大的安全措施就是不开源而已。
给很多的人造成了点麻烦。

以下是他们2K7还要用的措施。

1.采用多层结构，避免表现层直接与数据层交互，有效提高后端数据的安全；
2.使用类型安全的SQL参数化查询方式，从根本上解决SQL注入的问题；
3.利用验证控件，加强表单的客户端验证；
4.利用ASP.NET的HttpModule，从整体上限制直接访问和外部链接并判断是否登录，避免遗漏；
5.URL参数类型、数量、范围限制功能，解决恶意用户通过地址栏恶意攻击的问题；
6.全站和管理后台的IP访问限定功能，以实现权限和访问的最小化原则；
7.网站的配置信息保存在Site.config文件，。config文件是默认拒绝访问的文件类型，以避免配置信息泄密；
8.对程序集进行混淆加密，避免恶意用户通过反射利用代码漏洞进行攻击；
9.利用web.config中配置的自定义错误页和全局的异常处理，屏蔽异常出现时暴露的敏感信息；
10.对连接字符串进行加密，在配置信息泄密后保护数据库连接的敏感信息

说实在的，里面的大半部分都是那种"中国的专家"式的言论。都是一些自编的术语，把大家搞得迷迷糊糊的，然后大多数不懂的人就信了他了。
说实在的，由于对动易一直存在着鄙视。所以就只批他们了，所以要来骂站的人，就不用以某某某某某也是这种口气的理由来责备我。

好多些我看不懂的东西，我就不作评论了，我只说说一些我看得懂的。

1.没懂是什么意思，以后看看技术到底多深奥
2.放屁。
3.没用。
4.没用。
5.也没懂是什么意思。所以不做评论。
6.其实这一点确实还是不错的，只是可能给没有固定IP管理员带来一点麻烦，就公司的用户来说，这个功能确实不错。只是这只是小技术。
7.实在不知道在IIS6上到底有多少默认是拒绝访问的文件。如果要说，IIS6似乎是只允许几种文件可以访问而已。
8.也没搞懂，"通过反射"实在没看懂什么意思。可能他们的意思是通过反编（因为动易CMS是不开源的嘛），混淆加密，我好怕啊，一旦混淆了，我就读不懂代码了。
9.这个不错。只是和第6一样，一些小技术有炫耀的价值吗？
10.没用。

他们将会完成的安全措施：

尚未最后完成的增强版日志记录。详细跟踪记录用户操作异常和部分系统异常，让站长和安全人员能通过日志分析系统可能存在的漏洞和bug，有针对性地进行防范和完善。
开发团队仍在继续努力，虽然对跨站脚本攻击，采取了一些措施进行限制，但还未从根本上解决，动易开发团队的目标是力争彻底解决。
计划利用密码强度限制，排除存在弱密码的可能性。很多时候网站的密码被盗取，往往是由于密码不够复杂，容易被暴力破解造成的。除了在防暴力破解方面采取措施外，设置强密码才是关键。动易2007开发团队计划在密码强度限制方面为站长提供更安全的限制手段。
开发团队正在研究使用SSL来加密数据传输；SSL加密是很多安全性要求高的网站（例如网上银行、在线交易等）广泛采用的手段。一旦普通网站能够得到该技术支持，针对高级入侵和数据伪造、数据挟持等手段的安全系数也会得到极大提升。

第一个不错，有用。这个该表扬。。
第二个不错，有用。只是这类型的安全不是靠嘴巴吹出来的。
第三个不错，有用。只是动易的人以为别人是暴力MD5呢，有注入一个update不就搞定了？
第四个是混蛋的想法而已，一个CMS系统，有必要搞得和银行和在线交易一样吗？

这次的快报，我们用很大的篇幅来介绍了动易2007版在安全方面所做的改进，安全防范是一个复杂的、涉及面极广的负责工程，所以快报中的介绍也只能是简单概述，但是可以明确的是：动易2007版绝对是一个在安全方面空前强大的系统。也证明了动易公司和动易开发团队对于网站安全的重视程度和所做出的不懈努力。

"动易2007版绝对是一个在安全方面空前强大的系统"又在吹牛皮了，不知道为什么，微软都不敢说他漏洞少，这些莫名其妙的人反而喜欢吹嘘自己的安全。
那个陈大腕似乎说过一句什么话来着？人不能XX到这个地步。

最后还是要说一点动易的好的东西：
1.对自己错误的认识。在发现问题的第一时间马上发出解决方法。不为了绷一点脸面而伤害大部分用户的利益。这一点想起来就有一点感动。比那个PW好了不知道多少倍。
2.技术含量。在asp的程序CMS中技术含量确实排列前端。
3.安全意识。确实还算安全。。

我发这文的目的，只是想说，TMD安全不是靠吹出来的。
据我所知，动易根本就没有对安全了解一点的人。对于安全的见解全部来自于网络上的一些用老了的东西，到目前为止，他们在乎的仍然是注入这种低级的漏洞，跨站他们不能解决，而另一些全新的攻击方式，他们更是听都没听说。
我也TMD的无聊。把别人欺骗用户的广告也拖出来骂，本来就该是当没看到的。

对动易的鄙视来自于当时不知道是谁说提交漏洞，官方要发奖金的。我试着提交了两个，结果完全没动静。后来才知道原来动易没有这个规定，所以就一直挺恨他们的。
那个动网也是。老子提交了一个，也是没动静。。
顺便在这里提醒一下大家。莫要去信这些事情了。TMD，谁放出的这些风声，谁TMD生娃儿莫屁眼

【免费加入会员】【我要投稿】【关闭本页】