《動(dòng)易網(wǎng)站管理系統(tǒng)》2005 SP2版在安全性方面可以說(shuō)是空前安全，原因有以下幾個(gè)方面：

1、全面的系統(tǒng)安全檢測(cè)：
　　動(dòng)易公司這次推遲一周時(shí)間發(fā)布動(dòng)易2005 SP2版，這一周時(shí)間，10名開(kāi)發(fā)人員的工作只有一個(gè)：再次認(rèn)真檢查每一行代碼，檢查每個(gè)要提交到查詢(xún)語(yǔ)句中的變量，看其是否已經(jīng)過(guò)過(guò)濾，以確保SP2中絕對(duì)沒(méi)有一個(gè)SQL注入點(diǎn)。我們以這么多時(shí)間和人力單獨(dú)檢查系統(tǒng)的安全性，目的只有一個(gè)：對(duì)每一位動(dòng)易用戶(hù)所信賴(lài)和使用系統(tǒng)的安全負(fù)責(zé)。

2、上傳文件功能的的改進(jìn)：
　?。?）黑名單類(lèi)型增加到26種，確保不可能直接上傳這些文件。
　?。?）對(duì)擴(kuò)展名做了嚴(yán)格限制，只允許26個(gè)英文字母＋10個(gè)數(shù)字，而主文件名是系統(tǒng)生成的，所以確保黑客不可能通過(guò)各種方式在上傳過(guò)程中出現(xiàn)ASP之類(lèi)的文件。
　?。?）在利用動(dòng)易系統(tǒng)上傳文件后，系統(tǒng)會(huì)對(duì)當(dāng)前上傳目錄進(jìn)行掃描，一旦發(fā)現(xiàn)26個(gè)黑名單類(lèi)型中的文件則立即刪除。布下了最后一道不可能突破的關(guān)口（除了不用動(dòng)易系統(tǒng)上傳功能來(lái)上傳文件）。

3、新增管理認(rèn)證碼功能：
　　我們也考慮到了萬(wàn)一前臺(tái)存在著SQL注入漏洞（一般是用戶(hù)自己寫(xiě)的ASP程序或其他程序存在的漏洞），讓黑客通過(guò)注入漏洞得到了超級(jí)管理員密碼（ACCESS數(shù)據(jù)庫(kù)）或修改了超級(jí)管理員密碼（SQL數(shù)據(jù)庫(kù)），（如果只是得到管理員密碼的MD5加密值，是沒(méi)有多大用途的，除非管理員密碼超級(jí)簡(jiǎn)單，可以被暴力破解，因?yàn)閯?dòng)易對(duì)cookie欺騙做了嚴(yán)格的防護(hù)），黑客也不能進(jìn)入后臺(tái)！因?yàn)閯?dòng)易2005 SP2版增加了一個(gè)新功能：管理認(rèn)證碼！
　　啟用管理認(rèn)證碼的方法：
　　修改Admin/Admin_ChkCode.asp文件中的以下內(nèi)容：
　　Const EnableSiteManageCode = False '是否啟用后臺(tái)管理認(rèn)證碼，True為啟用，F(xiàn)alse為不啟用
　　Const SiteManageCode = "PowerEasy2005" '后臺(tái)管理認(rèn)證碼
　　當(dāng)您啟用管理認(rèn)證碼功能后，管理員要進(jìn)入后臺(tái)時(shí)除了要輸入用戶(hù)名、密碼、驗(yàn)證碼外，還要輸入管理認(rèn)證碼。這個(gè)管理認(rèn)證碼是存放在ASP文件（Admin/Admin_ChkCode.asp）中。除非攻擊者扔有了FTP權(quán)限，或者已經(jīng)得到了WebShell權(quán)限（即可以通過(guò)Web查看、修改、刪除服務(wù)器上的文件），否則攻擊者是不可能知道這個(gè)認(rèn)證碼的。

最后，給大家?guī)讉€(gè)忠告：

　　1、千萬(wàn)不要隨意安裝其他非動(dòng)易官方開(kāi)發(fā)的插件類(lèi)程序。因?yàn)榻?jīng)過(guò)我們的檢測(cè)，目前發(fā)布的插件等還沒(méi)有一個(gè)做了嚴(yán)格的SQL注入防護(hù)工作的。安裝目前發(fā)布的任何一個(gè)插件，都有可能讓黑客輕而易舉的通過(guò)插件程序來(lái)進(jìn)入SQL注入攻擊，從而得到管理員密碼。

　　2、自己開(kāi)發(fā)的相關(guān)程序在還沒(méi)有經(jīng)過(guò)嚴(yán)格的安全檢測(cè)前，千萬(wàn)不要放在正式網(wǎng)站中運(yùn)行。許朋友在動(dòng)易基礎(chǔ)上自己開(kāi)發(fā)的程序時(shí)，只關(guān)注了功能可以實(shí)現(xiàn)，卻沒(méi)有對(duì)安全性、穩(wěn)定性做應(yīng)用的保護(hù)，導(dǎo)致安全漏洞幾乎隨處可見(jiàn)。不要以為沒(méi)有公布的程序黑客就不知道漏洞所在。現(xiàn)在漏洞檢測(cè)工具已經(jīng)比較“智能”，只要提供文件名和提交給文件的URL參數(shù)，即可自動(dòng)進(jìn)行各種猜測(cè)與攻擊。如果您沒(méi)有在自己的程序中做好SQL注入防護(hù)，檢測(cè)工具可以輕而易舉的找出您程序中的漏洞。動(dòng)易2005 SP1中的User_Message.asp中存在的漏洞就是在動(dòng)易沒(méi)有開(kāi)源的情況下，被黑客找出來(lái)的。

　　3、正式運(yùn)行的網(wǎng)站上千萬(wàn)不要安裝過(guò)多的系統(tǒng)。目前網(wǎng)上各種系統(tǒng)魚(yú)龍混雜。80%的系統(tǒng)并沒(méi)有像動(dòng)易與動(dòng)網(wǎng)等幾個(gè)知名系統(tǒng)一樣對(duì)安全性是如此重視，這些系統(tǒng)（包括許多相對(duì)比較知名的系統(tǒng)）在安全性上幾乎都存在著嚴(yán)重的漏洞。不過(guò)因?yàn)槭褂玫娜讼鄬?duì)比較少，黑客對(duì)此并不關(guān)注，所以公布的相對(duì)較少，但這并不意味著這些系統(tǒng)就是安全的。就拿商城系統(tǒng)來(lái)說(shuō)，通過(guò)我們研究的10幾個(gè)商城系統(tǒng)來(lái)看，每一個(gè)系統(tǒng)我們都可以輕而易舉的找到其注入漏洞。多安裝一個(gè)系統(tǒng)，就給您的網(wǎng)站多帶來(lái)一份安全風(fēng)險(xiǎn)。網(wǎng)站上安裝的多個(gè)系統(tǒng)中，只要有一個(gè)系統(tǒng)有安全漏洞，其他系統(tǒng)再安全也沒(méi)有用。

　　4、安全是一個(gè)系統(tǒng)工程。不僅僅是和您所使用的WEB程序有關(guān)，還和您的服務(wù)器的安全配置密切相關(guān)。拿動(dòng)易來(lái)說(shuō)，黑客幾乎不可能通過(guò)動(dòng)易來(lái)控制您的網(wǎng)站了，但攻擊者還可以通過(guò)FTP、通過(guò)直接攻擊服務(wù)器取得控制權(quán)等方式來(lái)控制您的服務(wù)器。

　　5、如果不是自己的服務(wù)器，找空間時(shí)要盡量找大的主機(jī)商！一些小的主機(jī)商的技術(shù)與安全技術(shù)不夠，配置的服務(wù)器的安全性令人擔(dān)憂(yōu)。將自己的網(wǎng)站放在安全性做得不夠周全的服務(wù)器上，就算您使用的系統(tǒng)再安全也是沒(méi)用。

　　6、如果可能，盡量不要在服務(wù)器上放多個(gè)網(wǎng)站，或不要與別人共享同一臺(tái)服務(wù)器。共享同一臺(tái)服務(wù)器時(shí)，就算您的網(wǎng)站沒(méi)有任何安全漏洞，但不能保證同一臺(tái)服務(wù)器上的其他網(wǎng)站沒(méi)有安全問(wèn)題，如果其他網(wǎng)站有安全問(wèn)題，那么您的網(wǎng)站也根本安全不起來(lái)。簡(jiǎn)單一點(diǎn)，現(xiàn)在的黑客完全可以通過(guò)旁注等方式黑掉您的站點(diǎn)。復(fù)雜一點(diǎn)，當(dāng)黑客高手通過(guò)同一臺(tái)服務(wù)器上的另一個(gè)網(wǎng)站的安全漏洞得到了服務(wù)器的控制權(quán)，您的網(wǎng)站還是落在了攻擊者的掌控之中。

　　在此，動(dòng)易團(tuán)隊(duì)所有成員真摯感謝所有為動(dòng)易系統(tǒng)的發(fā)展獻(xiàn)計(jì)獻(xiàn)策和對(duì)動(dòng)易系統(tǒng)安全檢測(cè)作出努力的朋友們！！