動易CMS 2007新特性體驗之旅——全面提高的安全性_動易Cms教程

      編輯Tag賺U幣
      教程Tag:暫無Tag,歡迎添加,賺取U幣!

        對于CMS系統來說,安全性的重要可想而知!假如一個系統的功能再強大、再易用,假如安全性不好,那就是失敗的產品。所以,動易開發團隊在安全方面做了最大努力的工作。我們看動易CMS2007的新特性中有這么一項:

      以下是引用片段:
      全面提高的安全性
      動易CMS 2007保留了動易CMS 2006成熟的安全防范措施,并且借助Asp.Net的特性和功能對各種攻擊方式進行全方位的防范。
      根據OWASP組織發布的2007年Web應用程序脆弱性10大排名統計,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。動易CMS 2007針對每種攻擊方式都制定了一套完整的防御方案,可以有效的抵制惡意用戶對網站進行的攻擊,提高網站的安全性

        關于動易CMS2007的安全性,我們已經在/Blog/kuaibao/3050.html這篇文章中概述性講過了。

        寫這篇文章的時候,開發團隊將動易CMS 2007中用到的安全技術和手段做了一下小結。下面就是他們列出來的一份防范措施清單:

            以下是引用片段:
            1、密碼保護:
            ●用戶密碼的MD5加密
            ●利用密碼強度限制,排除存在弱密碼的可能性
            ●后臺登錄啟用驗證碼防止利用工具窮舉破解密碼
            ●后臺登錄啟用治理認證碼(保存在.config文件中)加強密碼保護的強度

            2、輸入驗證:
            ●利用驗證控件,對用戶輸入的數據進行類型、大小、范圍的驗證

            3、訪問限制:
            ●后臺治理目錄可以通過網站信息配置進行修改來防止攻擊
            ●全站和治理后臺的IP訪問限定功能可以實現訪問范圍的最小化
            ●后臺治理文件對訪問用戶身份的統一驗證
            ●從整體上限制直接輸入地址或通過外部鏈接訪問后臺文件

            4、注入漏洞攻擊防范:
            ●使用類型安全的SQL參數化查詢方式,從根本上解決SQL注入的問題
            ●對于不能使用參數化查詢的部分(比如in、like語句),使用嚴格的過濾函數進行過濾
            ●限定URL的傳遞參數類型、數量、范圍等來防止通過構造URL進行惡意攻擊

            5、跨站腳本攻擊防范:
            ●對于不支持HTML標記的內容使用HTMLEncode進行編碼
            ●對于支持HTML標記的內容使用腳本過濾函數來過濾絕大部分可運行的腳本代碼,作為防范的輔助措施
            ●通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效)
            ●使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3)

            6、跨站請求偽造防范:
            ●禁止通過地址欄直接訪問或者通過外部鏈接訪問后臺治理頁面
            ●通過設置ViewStateUserKey屬性防止受到惡意用戶的點擊式攻擊(對應Post方式)
            ●通過對鏈接追加安全驗證碼(HMACSHA1)防止跨站請求偽造(對應Get方式)

            查看更多 動易Cms教程  動易Cms模板

            共6頁上一頁123456下一頁
            來源:模板無憂//所屬分類:動易Cms教程/更新時間:2007-08-20
            相關動易Cms教程