DedeCMS 漏洞為何屢修不止?
「有漏洞是小啊,但是得補啊!得重視產品安全 態度很重要!」這是我剛才在微博上回應朋友的一句話!
第一要說的是所有的程序都會有漏洞,有漏洞不可怕。
第二要說的是:沒有絕對的安全,所以才有修不完的漏洞!但是有更安全
所以這個現象不是DedeCMS獨有的,但是題主為什麼是問DedeCMS 而不是PhpCMS,或者其他什麼CMS呢?如果你比較關注wooyun或者關注dedecms官方 你會發現在過去得很長一端時間內DedeCMS都沒有進行更新和維護!如圖:
「禍不單行」 2013年6月7日可以載入史冊的一天。因為DedeCMS可能是有史來最嚴重安全漏洞出現了,當天我看這個漏洞細節的時候,就斷言這個漏洞將持續影響多年!我們立即發布了「紅色警報」
【2013.06.07】網曝DedeCMS嚴重漏洞,SCANV發出紅色警報 同時繼續聯繫官方,希望官方能出補丁。這次可能是覺得問題太大了 官方還是在當天晚上發布補丁!後面我們持續跟蹤了這個漏洞的被利用的情況,並通過數據挖掘分析了改漏洞在被曝光之前就被地下利用的情況。詳細請參考:0day被曝光之前 - /*///*/alert(1); - 知乎專欄
0day被爆後,網路世界會發生什麼?
這次雖然dedecms緊急更新了補丁,但是漏洞的威力實在太大了,利用門檻太低、dedecms網站太多!導致「哀嚎遍野」,再次加深了「DedeCMS不安全」的印象!這裡順帶要提到的,由於漏洞的特殊性,導致出現了「殺不死的90sec.php」出現了,也就是你查殺這個90sec.php 過段時間又出現了,起願意這個漏洞是把惡意數據放到的資料庫里,如果你不清理數據,導致你刪除木馬後又出現了。那個時候市面上所有網站殺毒程序都沒有用,於是我們訂製一款 DedeCMS頑固木馬後門專殺工具 V 2.0 [版本更新:20140228 ] 解決這個問題,得到很多站長好評及支持!
不過突然有一天,大體是http://updatenew.dedecms.com/base-v57/gb2312/20130715.file.txt 這個一下出了n個漏洞補丁及官方也在wooyun上積極確認漏洞修復了 如圖:
一切看上去都很有好轉,我們也覺得有希望,於是在 【2014.03.04】安全聯盟報告DedeCMS多個安全漏洞[更新3.5]-安全聯盟官方論壇 我們整理報告了多個安全漏洞,有2個是新發現的,他們陸續更新了,但是還有好幾個是官方歷史上遺留的而且被曝光的,可惜都沒有進行處理!目前我們還在努力溝通希望官方能更新修復,這些漏洞在我們專殺工具里已經提供了解決方案!
在這裡我想再提一下在官方不作為之前,還是比較重視安全的!依稀記得好像還有感謝過我們!dedecms在整體代碼安全上除了用戶中心(很多漏洞出現在用戶中心),其他部分還是相對比較安全的!那時候大家都很和諧,隨著官方不作為,這個印象越來越爛!
所以我想說的是:官方的對安全態度決定一切。用戶在選擇建站程序的時候,官方的對安全態度及更新頻率是一個非常重要的指標!就我們觀察PHPCMS一樣存在很多嚴重的安全漏洞,但是給的印象要比dedecms好得多就是這個原因!
最後還有說明的是,官方是一方面,但是站長也是有責任的。很多網站站長平時不在意安全,不及時更新。也是導致網站各種被黑被安全聯盟等攔截!「讓安全成為網站的基礎運營一部分」這才是當前站長要覺悟的道理!
因為他們的思想還停留在修復漏洞的層面。而非寫出沒有漏洞(或儘可能少)的代碼!
安全是覺悟,能把產品做到絕對的安全是不太可能的。做程序員的,也可能不太懂安全,因為只是一種編程技能的靈活應用。剩下的問題,就是人與人如何相處的問題了。
有一見鍾情類,也有見一次就不想見第二次。 所以遇到這樣的情況,換做是我,我也會不想跟對方再聯繫了。
我不想說我有多帥,但她還是看都不看我一眼。我曾經對他說過很多情話,寫過很多情書,甚至講過很多道理。但..........
好了,不提了,也許安全也是如此。有追求自己的粉絲,便不想再理會其他。就算你再帥,也沒用。主要原因還是那臭名昭著的dede自己實現的萬惡的register global,導致各種變數覆蓋從而控制流程和數據…
因為有用戶存在
因為使用的人非常多
它需要大家的關注 程序員答: 老闆說這是必須的
只要他還在更新,他就會一直有漏洞,哪家都一樣!只有當他不再更新了,漏洞就成了不可再生資源了。
漏洞的多少除了程序本身之外,和使用量也有關,dedecms的市場佔有率相當高,用的人也多,肯定找漏洞的人就多了,相反有的程序都沒有幾個人用,沒有人找漏洞,暴露出來的也就少了啊……
推薦閱讀: