动易CMS 2007新特性体验之旅——全面提高的安全性(2)_动易Cms教程
教程Tag:暂无Tag,欢迎添加,赚取U币!
7、信息泄露防范:
●网站的配置信息保存在Site.config文件中,.config文件是默认拒绝访问的文件类型,以避免配置信息泄密;
●利用web.config中配置的自定义错误页和全局的异常处理,屏蔽异常出现时暴露的敏感信息;
●对数据库连接字符串进行加密,在配置信息泄密后保护数据库连接的敏感信息;
8、上传下载防范:
●Access数据库防下载功能
●对上传文件类型进行检查,并删除黑名单中列出类型的文件
●对上传文件的实际类型进行检查
9、其他措施:
●跟踪用户操作异常和系统异常,并具体记录到日志中,以便于分析
●对程序集进行强命名,以防止非法篡改程序集
●对程序集进行加密和混淆,避免恶意用户通过反射程序集利用代码漏洞进行攻击
●在线文件比较功能检查网站中可能存在的木马程序
●治理员最后修改密码日期
●…………
从这份长长的清单中,大家可以看到动易开发团队在动易CMS2007的安全问题上所做的努力吧。可以毫不夸张的说:动易CMS2007将是动易史上最安全的产品。“前无古人”,动易CMS2007做到了。而后面的版本则将在此基础更安全。动易每一个版本肯定会比以前的版本更安全,因为我们自始至终都将产品的安全性放在最重要的位置。
下面我来一一为大家介绍一下这些防范措施:
| 以下是引用片段: 1、密码保护: ●用户密码的MD5加密 ●利用密码强度限制,排除存在弱密码的可能性 ●后台登录启用验证码防止利用工具穷举破解密码 ●后台登录启用治理认证码(保存在.config文件中)加强密码保护的强度 |
这个不用我多做说明,大家应该都知道。基本上这是现在的软件产品在安全方面的标准配置了。假如某个软件连这些都没有,其安全性可想而知。
| 以下是引用片段: 2、输入验证: ●利用验证控件,对用户输入的数据进行类型、大小、范围的验证 |
这个也不需多说。这是ASP.NET的特性之一。动易CMS2007全面使用了ASP.NET这些特性来加强产品的安全性。
| 以下是引用片段: 3、访问限制: ●后台治理目录可以通过网站信息配置进行修改来防止攻击 ●全站和治理后台的IP访问限定功能可以实现访问范围的最小化 ●后台治理文件对访问用户身份的统一验证 ●从整体上限制直接输入地址或通过外部链接访问后台文件 |
。