账号通
    

账号  

密码  

6042

查看

13

回复
主题:[讨论]再议kesion7.05的安全性 [收藏主题] 转到:  
cz101 当前离线

44

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:492 分
登录次数:149 次
注册时间:2008/6/21
最后登录:2018/1/24
cz101 发表于:2011/4/14 22:59:48   | 只看该作者 查看该作者主题 楼主 
科汛智能建站系统

  刚看了一下kesionn 20110411补丁的内容说明。



  针对以下两点安全更新。

  1、加强后台上传文件管理KS.AdminFiles.asp的安全过滤,以免获得管理员身份后可以遍历所有文件,

可以任意删除

  3、增加后台几处涉及数据库备份及导出的文件扩展名的验证,以免黑客获得后台权限后被利用





  我又想在此评议两句了,感觉就是程序员太低估了黑客的能力了吧,就这样限制一下这能奈何的了黑客了吗?



  这两个安全问题都是在假定攻击者获得管理员身份的情况下,试问,如果攻击者都进入后台了。还有什么好防的呢?进入后台就等于网站的一切都暴露在他的眼前,本身就没有任何安全可言了。你这时候来限制他“上传文件管理”,“数据库备份及导出”这一类的问题,还有意义吗?在线执行sql命令,批量替换,模板编辑,模块配置,自定标签,自定sql命令……哪一个模块不能产生安全问题?你能把这些功能都限制到吗?除非你撤掉这些功能,可是撤了这些功能你网站还能用吗?好吧,就算你有本事把这些功能都限制到天衣无缝了,可是你的网站数据呢?你总不能让管理员不能添加修改删除网站数据吧。所以从某个角度来说,这两个补丁没有一点实际含义。



  所以我觉得,这次的补丁的发布,程序员跟本就没有用心考虑系统的安全问题。真正的安全防范目标是防止攻击者获取管理权限。而不是假定攻击者获取了管理权限之后的安全补救。是程序员太自信目前的程序安全性?还是程序员有意回避安全问题?欢迎访问我的网站www.czhao123.com的“czhao123站长博客”交流更多有关建站安全问题和安全防范。





 
  支持(1) | 反对(0) 回到顶部顶端 回到底部底部
天光水影 当前离线

734

主题

0

广播

3

粉丝
添加关注
级别:六年级

用户积分:1174 分
登录次数:314 次
注册时间:2011/3/25
最后登录:2017/9/18
天光水影 发表于:2011/4/15 4:56:05   | 只看该作者 查看该作者主题 沙发 
 
天光水影
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
刚刚 当前离线

1852

主题

5

广播

126

粉丝
添加关注
级别:版主

用户积分:7093 分
登录次数:225 次
注册时间:2010/7/6
最后登录:2024/4/15
刚刚 发表于:2011/4/15 9:37:20   | 只看该作者 查看该作者主题 藤椅 
科汛在线网校系统

不太同意楼主观点


这次补丁的主要目的是为了防止得到后台权限后拿到webshell,以免程序被别人窃取和提权得到服务器权限。


若按官方提供的安全设置都设置后,系统已是很安全了

他们代码我基本都看过了,感到安全过滤还是很严谨的

现在若是别人得到后台权限,即使是一个很普通管理员账户,也是可提升到超级管理员权限的,即使打过最新的补丁同样可以得到webshell权限的,利用起来有些难度,我感到基本不会爆发大面积挂马事件。

 
专业网站漏洞检测与修复及服务器安全维护、专业程序修改与二次开发及标签制作。QQ:2813239495 详谈
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
ccdxz 当前离线

22

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:23 分
登录次数:1 次
注册时间:2011/4/15
最后登录:2011/4/15
ccdxz 发表于:2011/4/15 10:15:51   | 只看该作者 查看该作者主题 板凳 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
kingyehe 当前离线

83

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:604 分
登录次数:73 次
注册时间:2008/5/4
最后登录:2013/1/3
kingyehe 发表于:2011/4/15 11:39:39   | 只看该作者 查看该作者主题 报纸 
 
<a href=http://www.easyda.net>外贸网站建设</a> <a href=http://www.meilicoco.com>美丽人生</a> www.meilicoco.com <a href=http://www.easyda.net/webup.html>广州网站建设</a> www.easyda.net <a href=http://www.easyda.net>培训网站建设</a> <a href=http://www.easyda.net>外贸网站制作</a> <a href=http://www.meilicoco.com/edu/>怀孕多久能测出来</a> <a href=http://www.meilicoco.com/edu/>怎样才能怀孕</a> <a href=http://www.meilicoco.com/edu/>怀孕初期症状</a> <a href=http://www.meilicoco.com/edu/>胎教育儿</a>
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
1425 当前离线

211

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:193 分
登录次数:7 次
注册时间:2011/4/9
最后登录:2011/4/19
1425 发表于:2011/4/15 15:00:42   | 只看该作者 查看该作者主题 地板 
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
cz101 当前离线

44

主题

0

广播

0

粉丝
添加关注
级别:学前班

用户积分:492 分
登录次数:149 次
注册时间:2008/6/21
最后登录:2018/1/24
cz101 发表于:2011/4/16 9:19:52   | 只看该作者 查看该作者主题 7楼 
科汛智能建站系统

这次补丁的主要目的是为了防止得到后台权限后拿到webshell,以免程序被别人窃取和提权得到服务器权限。



1、用开源cms建的站,你认为别人稀罕的是你的程序吗?咱不管攻击者的目的,起码站长最关心的不是cms源码,而是我们苦心经营出来的数据,保证数据安全才是第一安全。

2、关于webshell服务器提权,这个问题更不是kesion cms的任务使命,而是服务器安全管理员的使命。如果你用的是虚拟主机的话,虚拟主机的安全性不是由你的网站cms决定的,如果你的网站很优秀很重要,但选了个不安全的虚拟主机,人家只要在你这台服务器机也申请一个空间就行了,怪就怪你没有选好空间商吧。

3、kesion真的很安全到没漏洞可找只好拿后台的安全开刀了吗?

那我就来举个简单的测试吧:http://www.czhao123.com/admin/KS.EnterPriseClass.asp,(把域名换成你的域名)如果你用kesion建的站,你会发现这个后台文件是没有加权限验证的,当然你会说这只是个小问题,但我告诉你这类低等级的(还不足以构成系统威胁)的问题我这发现有十多处哦,我不是有意钻那些漏洞,我只是为了小站的安全不得已。

你说你改了后台默认地址?我告诉你后台地址是可以爆出来的哦(起码在今天这个版本之前是可以的),具体方法我就不在这公布。

至于获取后台密码,也是可以的,专业asp程序员都能发现,只是不会公布出来给你知道而已。

 
做一个服务本地、方便实用的地方导航网,是我一直的梦想,欢迎光临我的网站——导航郴州(www.czhao123com)
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
人间无道 当前离线

1011

主题

0

广播

1

粉丝
添加关注
级别:八年级

用户积分:707 分
登录次数:126 次
注册时间:2010/6/22
最后登录:2012/7/2
人间无道 发表于:2011/4/16 9:35:03   | 只看该作者 查看该作者主题 8楼 
科汛在线商城系统(NET)

我也说两句吧



其实很多用户他可能不懂得改默认的access数据库名称,这样数据库就很容易被下载,然后通过md5解,从而得到后台账号和密码,就可以进入后台利用没有打补丁的拿webshell了。






 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
人间无道 当前离线

1011

主题

0

广播

1

粉丝
添加关注
级别:八年级

用户积分:707 分
登录次数:126 次
注册时间:2010/6/22
最后登录:2012/7/2
人间无道 发表于:2011/4/16 9:37:23   | 只看该作者 查看该作者主题 9楼 
科汛在线商城系统(NET)
其实任何程序的安全问题没有绝对的,只有相对。需要服务器安全设置,网站管理员本身的安全意识等结合吧!
 
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
刚刚 当前离线

1852

主题

5

广播

126

粉丝
添加关注
级别:版主

用户积分:7093 分
登录次数:225 次
注册时间:2010/7/6
最后登录:2024/4/15
刚刚 发表于:2011/4/16 10:54:06   | 只看该作者 查看该作者主题 10楼 
做在线知识付费 选科汛云开店

楼主说的不无道理

但感到楼主有点偏激呀:Q

我说的程序被别人窃取主要指的是商业程序及苦心经营出来的数据

我用科汛商业程序已经三年多了,基本版代码我基本都看过了,感到程序写的还是不错的!安全和效率上都在不断提升。免费版修改后台路径后只要不让恶意者得到数据库,后台路径基本是安全的(rebots.txt、搜索引擎除外)。楼主说的爆出来后台地址应是通过那个遍历漏洞。我不否认现在科汛系统还有很多可以利用地方,但修改后台路径、数据库路径、认证码,设置相应的权限后基本还是可以说相当安全的。



有几点提醒下官方,希望能引起注意:

1、后台新建或修改i模板处对模板内容过滤不严,可上传可执行代码(生成栏目.aso)

2、后台存在cookie欺骗漏洞(提升普通管理员权限、进后台只需知道密码MD5值)

3、会员中心仍存在XSS漏洞(这个利用好会产生很严重后果)

具体就不说太详细了

 
专业网站漏洞检测与修复及服务器安全维护、专业程序修改与二次开发及标签制作。QQ:2813239495 详谈
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行0.23438秒 powered by KesionCMS 9.0