刚看了一下kesionn 20110411补丁的内容说明。

　　针对以下两点安全更新。

　　1、加强后台上传文件管理KS.AdminFiles.asp的安全过滤，以免获得管理员身份后可以遍历所有文件，

可以任意删除

　　3、增加后台几处涉及数据库备份及导出的文件扩展名的验证，以免黑客获得后台权限后被利用

　　我又想在此评议两句了，感觉就是程序员太低估了黑客的能力了吧，就这样限制一下这能奈何的了黑客了吗？

　　这两个安全问题都是在假定攻击者获得管理员身份的情况下，试问，如果攻击者都进入后台了。还有什么好防的呢？进入后台就等于网站的一切都暴露在他的眼前，本身就没有任何安全可言了。你这时候来限制他“上传文件管理”，“数据库备份及导出”这一类的问题，还有意义吗？在线执行sql命令，批量替换，模板编辑，模块配置，自定标签，自定sql命令……哪一个模块不能产生安全问题？你能把这些功能都限制到吗？除非你撤掉这些功能，可是撤了这些功能你网站还能用吗？好吧，就算你有本事把这些功能都限制到天衣无缝了，可是你的网站数据呢？你总不能让管理员不能添加修改删除网站数据吧。所以从某个角度来说，这两个补丁没有一点实际含义。

　　所以我觉得，这次的补丁的发布，程序员跟本就没有用心考虑系统的安全问题。真正的安全防范目标是防止攻击者获取管理权限。而不是假定攻击者获取了管理权限之后的安全补救。是程序员太自信目前的程序安全性？还是程序员有意回避安全问题？欢迎访问我的网站www.czhao123.com的“czhao123站长博客”交流更多有关建站安全问题和安全防范。

１、用开源cms建的站,你认为别人稀罕的是你的程序吗?咱不管攻击者的目的，起码站长最关心的不是cms源码，而是我们苦心经营出来的数据，保证数据安全才是第一安全。

２、关于webshell服务器提权，这个问题更不是kesion cms的任务使命，而是服务器安全管理员的使命。如果你用的是虚拟主机的话，虚拟主机的安全性不是由你的网站cms决定的，如果你的网站很优秀很重要，但选了个不安全的虚拟主机，人家只要在你这台服务器机也申请一个空间就行了，怪就怪你没有选好空间商吧。

３、kesion真的很安全到没漏洞可找只好拿后台的安全开刀了吗？

那我就来举个简单的测试吧：http://www.czhao123.com/admin/KS.EnterPriseClass.asp,(把域名换成你的域名)如果你用kesion建的站，你会发现这个后台文件是没有加权限验证的，当然你会说这只是个小问题，但我告诉你这类低等级的（还不足以构成系统威胁）的问题我这发现有十多处哦，我不是有意钻那些漏洞，我只是为了小站的安全不得已。

你说你改了后台默认地址？我告诉你后台地址是可以爆出来的哦（起码在今天这个版本之前是可以的），具体方法我就不在这公布。

至于获取后台密码,也是可以的，专业asp程序员都能发现，只是不会公布出来给你知道而已。

不是目录遍历,是通过程序自身bug得到后台地址.