尊敬的客戶:
您好,過去(qù)一(yī)段時間以來,我(wǒ)司不時收到一(yī)些用戶的網站莫名奇妙不能訪問的問題,或經常被人上傳木馬,經過我(wǒ)司技術的排查,發現出現問題比較多的網站都有一(yī)個共性:都是用網上下(xià)載的建站源碼修改而成,其實,這對于網站的安全來說,是一(yī)個非常大(dà)的隐患!之所以說用這些源碼有非常大(dà)的安全隐患,主要是以下(xià)幾方面的原因:
1. 網站下(xià)載的源碼代碼質量良莠不齊,有些源碼可能存在一(yī)些上傳漏洞等問題。
2. 有些網站源碼很出名,如動易、eWebEditor 等,代碼在安全性方面會做得好一(yī)些,但因爲使用這些源碼人數衆多,有些别有用心的人會下(xià)載這些知(zhī)名的代碼,經常修改(挂木馬)後,重新以“優化版”、“美化版”等再發上傳發布,供其它人下(xià)載使用,實性這些代碼已經被放(fàng)了後門,如果使用這些代碼,網站安全将受到嚴重威脅,所以,如果要使用這些知(zhī)名的源碼,請務必到官方網站上下(xià)載,并在安裝好一(yī)定要修改網站默認的管理員(yuán)密碼
3. 有些不太出名的網站源碼,在某些關鍵的文件中(zhōng)已經隐藏了一(yī)些可能是有問題的代碼,在特定的情況下(xià),可能會引起網站不能訪問或其它問題。比如,我(wǒ)司發現有部分(fēn)網站使用了 fly06.com 這個網站開(kāi)發的源碼,當用戶在訪問利用這個源碼建立的網站的時候,網站會自動去(qù)請求一(yī)下(xià) http://www.fly06.com/cmd.asp?t=cdm&m=網站域名 這個頁面,這個頁面做了什麽事情不得而知(zhī),但至少會收集了這個網站的域名。另外(wài),我(wǒ)司發現 fly06.com這個域名已經被注冊商(shāng) Hold 了,也就是說被注冊商(shāng)封了,所以用這個源碼的所有網站都會不能正常訪問的。
4. 網上下(xià)載的代碼很多都是沒有對上傳漏洞、SQL注入漏洞等進行處理,如果這些源代碼比較多人下(xià)載,那麽有些别有用心的人就可能會去(qù)下(xià)載這類代碼研究其漏洞,當發現漏洞的時候,他就可以大(dà)批量的黑掉用這些源代碼的網站
綜上所述,可見使用網上現成的源碼可能會對網站的帶來很大(dà)的問題,所以我(wǒ)們建議廣大(dà)用戶不能随便使用網站的源碼,如果真的要使用,也要事先對源碼進行一(yī)下(xià)分(fēn)析,看看有沒有漏洞先,以大(dà)限度的保證源碼沒有問題。