刚看了一下kesionn 20110411补丁的内容说明。

　　针对以下两点安全更新。

　　1、加强后台上传文件管理KS.AdminFiles.asp的安全过滤，以免获得管理员身份后可以遍历所有文件，

可以任意删除

　　3、增加后台几处涉及数据库备份及导出的文件扩展名的验证，以免黑客获得后台权限后被利用

　　我又想在此评议两句了，感觉就是程序员太低估了黑客的能力了吧，就这样限制一下这能奈何的了黑客了吗？

　　这两个安全问题都是在假定攻击者获得管理员身份的情况下，试问，如果攻击者都进入后台了。还有什么好防的呢？进入后台就等于网站的一切都暴露在他的眼前，本身就没有任何安全可言了。你这时候来限制他“上传文件管理”，“数据库备份及导出”这一类的问题，还有意义吗？在线执行sql命令，批量替换，模板编辑，模块配置，自定标签，自定sql命令……哪一个模块不能产生安全问题？你能把这些功能都限制到吗？除非你撤掉这些功能，可是撤了这些功能你网站还能用吗？好吧，就算你有本事把这些功能都限制到天衣无缝了，可是你的网站数据呢？你总不能让管理员不能添加修改删除网站数据吧。所以从某个角度来说，这两个补丁没有一点实际含义。

　　所以我觉得，这次的补丁的发布，程序员跟本就没有用心考虑系统的安全问题。真正的安全防范目标是防止攻击者获取管理权限。而不是假定攻击者获取了管理权限之后的安全补救。是程序员太自信目前的程序安全性？还是程序员有意回避安全问题？欢迎访问我的网站www.czhao123.com的“czhao123站长博客”交流更多有关建站安全问题和安全防范。

不太同意楼主观点

这次补丁的主要目的是为了防止得到后台权限后拿到webshell，以免程序被别人窃取和提权得到服务器权限。

若按官方提供的安全设置都设置后，系统已是很安全了

他们代码我基本都看过了，感到安全过滤还是很严谨的

现在若是别人得到后台权限，即使是一个很普通管理员账户，也是可提升到超级管理员权限的，即使打过最新的补丁同样可以得到webshell权限的，利用起来有些难度，我感到基本不会爆发大面积挂马事件。

１、用开源cms建的站,你认为别人稀罕的是你的程序吗?咱不管攻击者的目的，起码站长最关心的不是cms源码，而是我们苦心经营出来的数据，保证数据安全才是第一安全。

２、关于webshell服务器提权，这个问题更不是kesion cms的任务使命，而是服务器安全管理员的使命。如果你用的是虚拟主机的话，虚拟主机的安全性不是由你的网站cms决定的，如果你的网站很优秀很重要，但选了个不安全的虚拟主机，人家只要在你这台服务器机也申请一个空间就行了，怪就怪你没有选好空间商吧。

３、kesion真的很安全到没漏洞可找只好拿后台的安全开刀了吗？

那我就来举个简单的测试吧：http://www.czhao123.com/admin/KS.EnterPriseClass.asp,(把域名换成你的域名)如果你用kesion建的站，你会发现这个后台文件是没有加权限验证的，当然你会说这只是个小问题，但我告诉你这类低等级的（还不足以构成系统威胁）的问题我这发现有十多处哦，我不是有意钻那些漏洞，我只是为了小站的安全不得已。

你说你改了后台默认地址？我告诉你后台地址是可以爆出来的哦（起码在今天这个版本之前是可以的），具体方法我就不在这公布。

至于获取后台密码,也是可以的，专业asp程序员都能发现，只是不会公布出来给你知道而已。

我也说两句吧

其实很多用户他可能不懂得改默认的access数据库名称，这样数据库就很容易被下载，然后通过md5解，从而得到后台账号和密码，就可以进入后台利用没有打补丁的拿webshell了。

楼主说的不无道理

但感到楼主有点偏激呀

我说的程序被别人窃取主要指的是商业程序及苦心经营出来的数据

我用科汛商业程序已经三年多了，基本版代码我基本都看过了，感到程序写的还是不错的！安全和效率上都在不断提升。免费版修改后台路径后只要不让恶意者得到数据库，后台路径基本是安全的（rebots.txt、搜索引擎除外）。楼主说的爆出来后台地址应是通过那个遍历漏洞。我不否认现在科汛系统还有很多可以利用地方，但修改后台路径、数据库路径、认证码，设置相应的权限后基本还是可以说相当安全的。

有几点提醒下官方，希望能引起注意：

1、后台新建或修改i模板处对模板内容过滤不严，可上传可执行代码（生成栏目.aso）

2、后台存在cookie欺骗漏洞（提升普通管理员权限、进后台只需知道密码MD5值）

3、会员中心仍存在XSS漏洞(这个利用好会产生很严重后果)

具体就不说太详细了