1、 PHPCMS 2008 网站内容管理系统代码审计报告 1. 程序介绍 Phpcms2008 是一款 基于 PHP+Mysql 架构的网 站内容管理 系统,也是一 个开源的 PHP 开发平台。Phpcms 采用模块化方式开发, 功能易用便于扩展, 可面向大中型站点提 供重量级网站建设解决方案。3 年来,凭借 Phpcms 团队长期积累的丰富的 Web 开发及 数据库经验和勇于创新追求完美的设计理念,使得 Phpcms 得到了近 10 万网站的认可, 并且越来越多地被应用到大中型商业网站。 2. 整体安全分析 在针对 PHPCMS2008 网站内容管理系统进行表层的代码审计之后,我们发现代码当
2、中存在着过多的安全隐患, 并且程序代码当中高危漏洞占整体漏洞的大部分。 致使用户当选 择使用 PHPCMS2008 的情况下,会引起大量的入侵事件以及经济损失。 3. 漏洞比例图 4. 修补建议 产生漏洞的原因主要有: 对于所使用的程序没有经过代码安全检测、对于输入输出未经过任何过滤。 针对漏洞修补建议: 对于存在漏洞的程序以及将要采用的程序进行源代码安全审计工作, 从根本上解决安全 隐患,使得投入的成本以及所带来的影响降到最低。 5. 附录 Code Defense CO.,Ltd., 是国内较早从事产品代码安全业务的企业之一, 公司致力于产 品代码安全研究以及安全漏洞检测、 产品代码安全加
3、固。 基于多年来对于产品安全的持续性 研究,Code Defense 为多个大型 Web 应用产品公司提供专业、 有效的产品代码安全解决 方案。共同保护了用户的利益不会因产品安全而导致损害。并且 Code Defense 对于黑客 入侵防范技术、服务器安全配置与维护等领域都有着深入的研究。 声明:该 报告中 提及的 数据以 Code Def ens e.Lab 等相关部门汇总 数据为 依据。 该报告 仅针对 PHPCMS2008Beta 以及 PHPCMS2008 正式版的相关信息、技术细节进行统计、研究和分析。所有结论和所持观点均由本公司独家发布,与其它公司、 部门无关。如若本报告阐述之状况、数据与其 他机构研究结果有差异,请使 用方自行判别,本公司不承担与 此相关的一切法律 责任。
