對于CMS系統來說,安全性的重要可想而知!假如一個系統的功能再強大、再易用,假如安全性不好,那就是失敗的產品。所以,動易開發團隊在安全方面做了最大努力的工作。我們看動易CMS2007的新特性中有這么一項:
以下是引用片段: 全面提高的安全性 動易CMS 2007保留了動易CMS 2006成熟的安全防范措施,并且借助Asp.Net的特性和功能對各種攻擊方式進行全方位的防范。 根據OWASP組織發布的2007年Web應用程序脆弱性10大排名統計,跨站腳本、注入漏洞、跨站請求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。動易CMS 2007針對每種攻擊方式都制定了一套完整的防御方案,可以有效的抵制惡意用戶對網站進行的攻擊,提高網站的安全性 |
關于動易CMS2007的安全性,我們已經在/Blog/kuaibao/3050.html這篇文章中概述性講過了。
寫這篇文章的時候,開發團隊將動易CMS 2007中用到的安全技術和手段做了一下小結。下面就是他們列出來的一份防范措施清單:
以下是引用片段: 1、密碼保護: ●用戶密碼的MD5加密 ●利用密碼強度限制,排除存在弱密碼的可能性 ●后臺登錄啟用驗證碼防止利用工具窮舉破解密碼 ●后臺登錄啟用治理認證碼(保存在.config文件中)加強密碼保護的強度 2、輸入驗證: ●利用驗證控件,對用戶輸入的數據進行類型、大小、范圍的驗證 3、訪問限制: ●后臺治理目錄可以通過網站信息配置進行修改來防止攻擊 ●全站和治理后臺的IP訪問限定功能可以實現訪問范圍的最小化 ●后臺治理文件對訪問用戶身份的統一驗證 ●從整體上限制直接輸入地址或通過外部鏈接訪問后臺文件 4、注入漏洞攻擊防范: ●使用類型安全的SQL參數化查詢方式,從根本上解決SQL注入的問題 ●對于不能使用參數化查詢的部分(比如in、like語句),使用嚴格的過濾函數進行過濾 ●限定URL的傳遞參數類型、數量、范圍等來防止通過構造URL進行惡意攻擊 5、跨站腳本攻擊防范: ●對于不支持HTML標記的內容使用HTMLEncode進行編碼 ●對于支持HTML標記的內容使用腳本過濾函數來過濾絕大部分可運行的腳本代碼,作為防范的輔助措施 ●通過frame的安全屬性security="restricted"來阻止腳本的運行(IE有效) ●使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密(IE6 SP1以上、Firefox 3) 6、跨站請求偽造防范: ●禁止通過地址欄直接訪問或者通過外部鏈接訪問后臺治理頁面 ●通過設置ViewStateUserKey屬性防止受到惡意用戶的點擊式攻擊(對應Post方式) ●通過對鏈接追加安全驗證碼(HMACSHA1)防止跨站請求偽造(對應Get方式) 相關動易Cms教程:
|