動(dòng)易CMS 2007新特性體驗(yàn)之旅――全面提高的安全性

2024-09-10 21:54:55

字體：大中小

供稿：網(wǎng)友

　　對(duì)于CMS系統(tǒng)來說，安全性的重要可想而知！假如一個(gè)系統(tǒng)的功能再強(qiáng)大、再易用，假如安全性不好，那就是失敗的產(chǎn)品。所以，動(dòng)易開發(fā)團(tuán)隊(duì)在安全方面做了最大努力的工作。我們看動(dòng)易CMS2007的新特性中有這么一項(xiàng)：

以下是引用片段：
全面提高的安全性
動(dòng)易CMS 2007保留了動(dòng)易CMS 2006成熟的安全防范措施，并且借助Asp.Net的特性和功能對(duì)各種攻擊方式進(jìn)行全方位的防范。
根據(jù)OWASP組織發(fā)布的2007年Web應(yīng)用程序脆弱性10大排名統(tǒng)計(jì)，跨站腳本、注入漏洞、跨站請(qǐng)求偽造、信息泄露等幾方面仍然是目前流行的攻擊方式。動(dòng)易CMS 2007針對(duì)每種攻擊方式都制定了一套完整的防御方案，可以有效的抵制惡意用戶對(duì)網(wǎng)站進(jìn)行的攻擊，提高網(wǎng)站的安全性

　　關(guān)于動(dòng)易CMS2007的安全性，我們已經(jīng)在/Blog/kuaibao/3050.html這篇文章中概述性講過了。

　　寫這篇文章的時(shí)候，開發(fā)團(tuán)隊(duì)將動(dòng)易CMS 2007中用到的安全技術(shù)和手段做了一下小結(jié)。下面就是他們列出來的一份防范措施清單：

以下是引用片段：
1、密碼保護(hù)：
●用戶密碼的MD5加密
●利用密碼強(qiáng)度限制，排除存在弱密碼的可能性
●后臺(tái)登錄啟用驗(yàn)證碼防止利用工具窮舉破解密碼
●后臺(tái)登錄啟用治理認(rèn)證碼（保存在.config文件中）加強(qiáng)密碼保護(hù)的強(qiáng)度

2、輸入驗(yàn)證：
●利用驗(yàn)證控件，對(duì)用戶輸入的數(shù)據(jù)進(jìn)行類型、大小、范圍的驗(yàn)證

3、訪問限制：
●后臺(tái)治理目錄可以通過網(wǎng)站信息配置進(jìn)行修改來防止攻擊
●全站和治理后臺(tái)的IP訪問限定功能可以實(shí)現(xiàn)訪問范圍的最小化
●后臺(tái)治理文件對(duì)訪問用戶身份的統(tǒng)一驗(yàn)證
●從整體上限制直接輸入地址或通過外部鏈接訪問后臺(tái)文件

4、注入漏洞攻擊防范：
●使用類型安全的SQL參數(shù)化查詢方式，從根本上解決SQL注入的問題
●對(duì)于不能使用參數(shù)化查詢的部分（比如in、like語句），使用嚴(yán)格的過濾函數(shù)進(jìn)行過濾
●限定URL的傳遞參數(shù)類型、數(shù)量、范圍等來防止通過構(gòu)造URL進(jìn)行惡意攻擊

5、跨站腳本攻擊防范：
●對(duì)于不支持HTML標(biāo)記的內(nèi)容使用HTMLEncode進(jìn)行編碼
●對(duì)于支持HTML標(biāo)記的內(nèi)容使用腳本過濾函數(shù)來過濾絕大部分可運(yùn)行的腳本代碼，作為防范的輔助措施
●通過frame的安全屬性security="restricted"來阻止腳本的運(yùn)行（IE有效）
●使用Cookie的HttpOnly屬性來防止Cookie通過腳本泄密（IE6 SP1以上、Firefox 3）

6、跨站請(qǐng)求偽造防范：
●禁止通過地址欄直接訪問或者通過外部鏈接訪問后臺(tái)治理頁面
●通過設(shè)置ViewStateUserKey屬性防止受到惡意用戶的點(diǎn)擊式攻擊（對(duì)應(yīng)Post方式）
●通過對(duì)鏈接追加安全驗(yàn)證碼（HMACSHA1）防止跨站請(qǐng)求偽造（對(duì)應(yīng)Get方式）