DedeCMS 漏洞為何屢修不止?


「有漏洞是小啊,但是得補啊!得重視產品安全 態度很重要!」這是我剛才在微博上回應朋友的一句話!

第一要說的是所有的程序都會有漏洞,有漏洞不可怕。

第二要說的是:沒有絕對的安全,所以才有修不完的漏洞!但是有更安全

所以這個現象不是DedeCMS獨有的,但是題主為什麼是問DedeCMS 而不是PhpCMS,或者其他什麼CMS呢?如果你比較關注wooyun或者關注dedecms官方 你會發現在過去得很長一端時間內DedeCMS都沒有進行更新和維護!如圖:

這些漏洞都被忽視了,很多細節都被公布、公開當時我們公司也多次報告過我們發現或監測到的漏洞報告給他們,他們的處理很簡單:你發報告給他們的聯繫qq,他們還是接收。但是不回復、漏洞不修復。更加不用說發布感謝了[由此我還記得某「褲帶」計劃由於官方沒有處理他們的收來的漏洞,而做出直接公布了漏洞這樣不負責任的極端行為],又有官方的不作為,受苦的就是使用dedecms的網站站長了!對於很多公布了細節或者正在被黑客利用的漏洞我們都會一時間發布臨時補丁(如 漏洞預警 - 安全聯盟官方論壇),不過關注我們的站長有限。DedeCMS市場基數又那麼大,所以導致都是叫苦的站長。於是很多人留下了「DedeCMS不安全」的印象!

「禍不單行」 2013年6月7日可以載入史冊的一天。因為DedeCMS可能是有史來最嚴重安全漏洞出現了,當天我看這個漏洞細節的時候,就斷言這個漏洞將持續影響多年!我們立即發布了「紅色警報」

【2013.06.07】網曝DedeCMS嚴重漏洞,SCANV發出紅色警報 同時繼續聯繫官方,希望官方能出補丁。這次可能是覺得問題太大了 官方還是在當天晚上發布補丁!後面我們持續跟蹤了這個漏洞的被利用的情況,並通過數據挖掘分析了改漏洞在被曝光之前就被地下利用的情況。詳細請參考:

0day被曝光之前 - /*///*/alert(1); - 知乎專欄

0day被爆後,網路世界會發生什麼?

這次雖然dedecms緊急更新了補丁,但是漏洞的威力實在太大了,利用門檻太低、dedecms網站太多!導致「哀嚎遍野」,再次加深了「DedeCMS不安全」的印象!這裡順帶要提到的,由於漏洞的特殊性,導致出現了「殺不死的90sec.php」出現了,也就是你查殺這個90sec.php 過段時間又出現了,起願意這個漏洞是把惡意數據放到的資料庫里,如果你不清理數據,導致你刪除木馬後又出現了。那個時候市面上所有網站殺毒程序都沒有用,於是我們訂製一款 DedeCMS頑固木馬後門專殺工具 V 2.0 [版本更新:20140228 ] 解決這個問題,得到很多站長好評及支持!

不過突然有一天,大體是http://updatenew.dedecms.com/base-v57/gb2312/20130715.file.txt 這個一下出了n個漏洞補丁及官方也在wooyun上積極確認漏洞修復了 如圖:

一切看上去都很有好轉,我們也覺得有希望,於是在 【2014.03.04】安全聯盟報告DedeCMS多個安全漏洞[更新3.5]-安全聯盟官方論壇 我們整理報告了多個安全漏洞,有2個是新發現的,他們陸續更新了,但是還有好幾個是官方歷史上遺留的而且被曝光的,可惜都沒有進行處理!目前我們還在努力溝通希望官方能更新修復,這些漏洞在我們專殺工具里已經提供了解決方案!

在這裡我想再提一下在官方不作為之前,還是比較重視安全的!依稀記得好像還有感謝過我們!dedecms在整體代碼安全上除了用戶中心(很多漏洞出現在用戶中心),其他部分還是相對比較安全的!那時候大家都很和諧,隨著官方不作為,這個印象越來越爛!

所以我想說的是:官方的對安全態度決定一切。用戶在選擇建站程序的時候,官方的對安全態度及更新頻率是一個非常重要的指標!就我們觀察PHPCMS一樣存在很多嚴重的安全漏洞,但是給的印象要比dedecms好得多就是這個原因!

最後還有說明的是,官方是一方面,但是站長也是有責任的。很多網站站長平時不在意安全,不及時更新。也是導致網站各種被黑被安全聯盟等攔截!「讓安全成為網站的基礎運營一部分」這才是當前站長要覺悟的道理!


因為他們的思想還停留在修復漏洞的層面。而非寫出沒有漏洞(或儘可能少)的代碼!


安全是覺悟,能把產品做到絕對的安全是不太可能的。做程序員的,也可能不太懂安全,因為只是一種編程技能的靈活應用。剩下的問題,就是人與人如何相處的問題了。

有一見鍾情類,也有見一次就不想見第二次。 所以遇到這樣的情況,換做是我,我也會不想跟對方再聯繫了。

我不想說我有多帥,但她還是看都不看我一眼。我曾經對他說過很多情話,寫過很多情書,甚至講過很多道理。但..........

好了,不提了,也許安全也是如此。有追求自己的粉絲,便不想再理會其他。就算你再帥,也沒用。


主要原因還是那臭名昭著的dede自己實現的萬惡的register global,導致各種變數覆蓋從而控制流程和數據…


因為有用戶存在


因為使用的人非常多


它需要大家的關注 程序員答: 老闆說這是必須的


只要他還在更新,他就會一直有漏洞,哪家都一樣!只有當他不再更新了,漏洞就成了不可再生資源了。


漏洞的多少除了程序本身之外,和使用量也有關,dedecms的市場佔有率相當高,用的人也多,肯定找漏洞的人就多了,相反有的程序都沒有幾個人用,沒有人找漏洞,暴露出來的也就少了啊……


推薦閱讀:

有哪些好的fuzzing工具推薦?

TAG:黑客Hacker | 漏洞挖掘 |