警惕开源软件中潜在的安全隐患

2010年11月10日 4,508 浏览数 没有评论

  对于许多网站建设者来讲,使用开源软件项目,可以在很短时间内组建起自己理想中的网站,但是我们在享受便利的同时,一定要不忽略开源软件潜在的安全隐患。

  最近一段时间,我维护的服务器防火墙上,经常能够拦截到非法上传的ASP文件,经查看源代码都是木马程序。黑客们是通过什么途径上传的呢?我从已经上传上来的文件路径进行分析,发现大部分都出自网站中的“/uploadfiles”文件夹下,而此文件夹是网站系统编辑器默认的上传地址。由于该网站系统不是开源项目,所以问题可能就出在开源的编辑器上。该编辑器使用的是“eWebEditor”,曾经在国内红极一时,使用量非常大,但近几年来陆续曝出“默认帐户”及“上传漏洞”,导致许许多多网站被黑。我及时对该编辑器进行修改并监视一段时间,再没有发现非法文件上传的迹象。

  搞过软件工程的人都知道,没有十全十美的软件,绝大部分系统都存在这样或那样的漏洞。我们在使用这些开源软件的同时,也在我们的网站中埋下了一颗“地雷”,总有一天它会爆炸,使我们的数据受损。所以说,软件可以用,但不能用了之后,什么都不过问了。 阅读全文…

分类: 经验技巧 标签: