動易CMS 2007新特性體驗之旅――全面提高的安全性

2024-09-10 21:54:55

字體：大中小

來源：轉載

供稿：網友

　　對于CMS系統來說，安全性的重要可想而知！假如一個系統的功能再強大、再易用，假如安全性不好，那就是失敗的產品。所以，動易開發團隊在安全方面做了最大努力的工作。我們看動易CMS2007的新特性中有這么一項：

以下是引用片段：
全面提高的安全性
動易CMS 2007保留了動易CMS 2006成熟的安全防范措施，并且借助Asp.Net的特性和功能對各種攻擊方式進行全方位的防范。
根據OWASP組織發布的2007年Web應用程序脆弱性10大排名統計，跨站腳本、注入漏洞、跨站請求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。動易CMS 2007針對每種攻擊方式都制定了一套完整的防御方案，可以有效的抵制惡意用戶對網站進行的攻擊，提高網站的安全性

　　關于動易CMS2007的安全性，我們已經在/Blog/kuaibao/3050.html這篇文章中概述性講過了。

　　寫這篇文章的時候，開發團隊將動易CMS 2007中用到的安全技術和手段做了一下小結。下面就是他們列出來的一份防范措施清單：

以下是引用片段：
1、密碼保護：
●用戶密碼的MD5加密
●利用密碼強度限制，排除存在弱密碼的可能性
●后臺登錄啟用驗證碼防止利用工具窮舉破解密碼
●后臺登錄啟用治理認證碼（保存在.config文件中）加強密碼保護的強度

2、輸入驗證：
●利用驗證控件，對用戶輸入的數據進行類型、大小、范圍的驗證

3、訪問限制：
●后臺治理目錄可以通過網站信息配置進行修改來防止攻擊
●全站和治理后臺的IP訪問限定功能可以實現訪問范圍的最小化
●后臺治理文件對訪問用戶身份的統一驗證
●從整體上限制直接輸入地址或通過外部鏈接訪問后臺文件

4、注入漏洞攻擊防范：
●使用類型安全的SQL參數化查詢方式，從根本上解決SQL注入的問題
●對于不能使用參數化查詢的部分（比如in、like語句），使用嚴格的過濾函數進行過濾
●限定URL的傳遞參數類型、數量、范圍等來防止通過構造URL進行惡意攻擊

5、跨站腳本攻擊防范：
●對于不支持HTML標記的內容使用HTMLEncode進行編碼
●對于支持HTML標記的內容使用腳本過濾函數來過濾絕大部分可運行的腳本代碼，作為防范的輔助措施
●通過frame的安全屬性security="restricted"來阻止腳本的運行（IE有效）
●使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密（IE6 SP1以上、Firefox 3）

6、跨站請求偽造防范：
●禁止通過地址欄直接訪問或者通過外部鏈接訪問后臺治理頁面
●通過設置ViewStateUserKey屬性防止受到惡意用戶的點擊式攻擊（對應Post方式）
●通過對鏈接追加安全驗證碼（HMACSHA1）防止跨站請求偽造（對應Get方式）