账号通
    

账号  

密码  

6030

查看

13

回复
主题:[讨论]再议kesion7.05的安全性 [收藏主题] 转到:  
刚刚 当前离线

1852

主题

5

广播

126

粉丝
添加关注
级别:版主

用户积分:7093 分
登录次数:225 次
注册时间:2010/7/6
最后登录:2024/4/15
刚刚 发表于:2011/4/15 9:37:20   | 显示全部帖子 查看该作者主题 楼主 
做在线知识付费 选科汛云开店

不太同意楼主观点


这次补丁的主要目的是为了防止得到后台权限后拿到webshell,以免程序被别人窃取和提权得到服务器权限。


若按官方提供的安全设置都设置后,系统已是很安全了

他们代码我基本都看过了,感到安全过滤还是很严谨的

现在若是别人得到后台权限,即使是一个很普通管理员账户,也是可提升到超级管理员权限的,即使打过最新的补丁同样可以得到webshell权限的,利用起来有些难度,我感到基本不会爆发大面积挂马事件。

 
专业网站漏洞检测与修复及服务器安全维护、专业程序修改与二次开发及标签制作。QQ:2813239495 详谈
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
刚刚 当前离线

1852

主题

5

广播

126

粉丝
添加关注
级别:版主

用户积分:7093 分
登录次数:225 次
注册时间:2010/7/6
最后登录:2024/4/15
刚刚 发表于:2011/4/16 10:54:06   | 显示全部帖子 查看该作者主题 沙发 
做在线知识付费 选科汛云开店

楼主说的不无道理

但感到楼主有点偏激呀:Q

我说的程序被别人窃取主要指的是商业程序及苦心经营出来的数据

我用科汛商业程序已经三年多了,基本版代码我基本都看过了,感到程序写的还是不错的!安全和效率上都在不断提升。免费版修改后台路径后只要不让恶意者得到数据库,后台路径基本是安全的(rebots.txt、搜索引擎除外)。楼主说的爆出来后台地址应是通过那个遍历漏洞。我不否认现在科汛系统还有很多可以利用地方,但修改后台路径、数据库路径、认证码,设置相应的权限后基本还是可以说相当安全的。



有几点提醒下官方,希望能引起注意:

1、后台新建或修改i模板处对模板内容过滤不严,可上传可执行代码(生成栏目.aso)

2、后台存在cookie欺骗漏洞(提升普通管理员权限、进后台只需知道密码MD5值)

3、会员中心仍存在XSS漏洞(这个利用好会产生很严重后果)

具体就不说太详细了

 
专业网站漏洞检测与修复及服务器安全维护、专业程序修改与二次开发及标签制作。QQ:2813239495 详谈
  支持(0) | 反对(0) 回到顶部顶端 回到底部底部
<上一主题 | 下一主题 >
Powered By KesionCMS Version X1
厦门科汛软件有限公司 © 2006-2016 页面执行1.42969秒 powered by KesionCMS 9.0