1、安裝 動易cms在安全方面注意哪幾點???
用戶密碼等關鍵數據採用MD5不可逆加密後保存;
後台啟用驗證碼和認證碼;
後台Admin目錄可以更改目錄名;
禁止直接訪問和外部鏈接到後台頁面;
Access資料庫防下載功能;
對上傳文件類型進行檢查,並刪除黑名單中列出類型的文件;
對非HTML的表單進行編碼後再存入資料庫;
對SQL查詢語句中的查詢參數進行過濾。
這些手段,經過長期實踐驗證,確實能夠有效提高網站的安全性,因此在2007版中全部得到了保留和改進。網友可能會對MD5加密和驗證碼的作用提出質疑,因為「2004年MD5演算法已經被中國科學家破譯」、「開啟了驗證碼後,網站仍然出現批量注冊的用戶和大量重復信息、廣告信息」等等。
在這里我們稍加說明:
MD5加密演算法在數據加密領域得到廣泛應用,是一種有效的保存關鍵信息的有效手段。2004年,中國科學家「破譯」了MD5演算法,但這並不意味著你拿到一個經過MD5演算法加密後的字元串後,能夠逆向得到加密前的字元串。而我們採用MD5保存用戶密碼等數據信息,目的只是在於當資料庫被別人得到後,不能得到用戶的原始密碼。至於破解,即使在MD5演算法沒有被「破譯」的時候,一旦得到了加密結果,理論上通過暴力破解等手段,也同樣能夠得出密碼。因此採用MD5加密存儲關鍵信息,在網站管理系統中,仍然是一個有效的安全手段。圖像驗證碼功能已經被廣泛應用於網站的注冊、登錄、信息發表等需要防止暴力破解的地方。而且也確實是一個有效的防暴力破解手段(防垃圾信息和重復信息,依靠驗證碼是不可能徹底杜絕的)。動易首創的後台登錄認證碼手段,在確保伺服器安全的前提下,徹底斷絕了通過盜取管理員密碼進入後台的途徑。和其它安全措施相結合,能夠非常有效地保護網站後台的許可權不被非法利用。
除了從2006版保留繼承的安全措施以外,2007版又針對安全問題做了非常多的工作,基於。NET的動易CMS 2007版,安全性比2006版有了極大的提高。
微軟的ASP.NET 2.0平台和SQL Server 2005針對安全威脅,提供了大量的新特性。而動易CMS 2007版充分利用了這些新特性,為提高網站的安全系數,採用了大量的手段和措施:
採用多層結構,避免表現層直接與數據層交互,有效提高後端數據的安全;
使用類型安全的SQL參數化查詢方式,從根本上解決SQL注入的問題;
利用驗證控制項,加強表單的客戶端驗證;
利用ASP.NET的HttpMole,從整體上限制直接訪問和外部鏈接並判斷是否登錄,避免遺漏;
URL參數類型、數量、范圍限制功能,解決惡意用戶通過地址欄惡意攻擊的問題;
全站和管理後台的IP訪問限定功能,以實現許可權和訪問的最小化原則;
網站的配置信息保存在Site.config文件,。config文件是默認拒絕訪問的文件類型,以避免配置信息泄密;
對程序集進行混淆加密,避免惡意用戶通過反射利用代碼漏洞進行攻擊;
利用web.config中配置的自定義錯誤頁和全局的異常處理,屏蔽異常出現時暴露的敏感信息;
對連接字元串進行加密,在配置信息泄密後保護資料庫連接的敏感信息。
有興趣的網友可以通過搜索上面列表中的關鍵詞來了解更多相關的信息。我們這里就只做一下簡單的介紹:首先是多層結構開發,這個在以往的快報中已經介紹過了。為什麼採用多層結構能夠提高安全性呢?簡單來說,網站的訪問者在訪問網站時,僅僅是與表現層交互,而表現層的界面呈現,是由業務邏輯層來完成,業務邏輯層和數據層之間,使用各種實體來進行數據的交流。只有數據層才直接對資料庫進行操作。通過表現層提交的各種表單,首先要經過動易系統的過濾,成為業務層可用的參數。而這些參數又要轉換成各個實體的屬性,數據層還要將這些實體和屬性轉換成查詢參數後,才用與數據查詢。這樣就最大程度地防止了SQL注入類的攻擊(。NET環境下的各種編程語言都要求強類型變數,也就意味者像整數型的查詢參數,如果傳送一個非整數型的參數,是絕對不能通過的)。而在動易CMS 2007的數據層,完全採用帶有參數的結構化查詢,從根本上解決了SQL注入問題。
其次,ASP.NET的表單處理方式,在伺服器端編程絕大部分時候採用的是讀取伺服器控制項屬性而非GET方式提交的表單值(提取過程是由。NET來轉換實現),使得偽造表單數據攻擊比ASP環境下要困難得多。動易CMS 2007在ASP.NET自身提供的強大驗證控制項的基礎上加以繼承和發展,開發出了更多、更強大的驗證控制項。可以在客戶端、伺服器端對表單提交的數據合法性進行更嚴格的驗證。
另外,除了禁止直接輸入地址訪問關鍵頁面外,動易CMS 2007還對URL參數的類型、范圍等做出了嚴格限制和過濾,更基於ASP.NET的HttpMole,整體限制對指定范圍內的路徑進行直接訪問和外部鏈接,有效防範跨站腳本攻擊。結合超前強大的許可權分配和IP限制,站長完全可以確保非指定人員絕對不能越權訪問後台相關功能。
除了這些以外,動易CMS 2007開發團隊還在繼續研究和實踐更多的安全措施。最終的發布版本將會更加安全:
尚未最後完成的增強版日誌記錄。詳細跟蹤記錄用戶操作異常和部分系統異常,讓站長和安全人員能通過日誌分析系統可能存在的漏洞和bug,有針對性地進行防範和完善。
開發團隊仍在繼續努力,雖然對跨站腳本攻擊,採取了一些措施進行限制,但還未從根本上解決,動易開發團隊的目標是力爭徹底解決。
計劃利用密碼強度限制,排除存在弱密碼的可能性。很多時候網站的密碼被盜取,往往是由於密碼不夠復雜,容易被暴力破解造成的。除了在防暴力破解方面採取措施外,設置強密碼才是關鍵。動易CMS 2007開發團隊計劃在密碼強度限制方面為站長提供更安全的限制手段。
開發團隊正在研究使用SSL來加密數據傳輸;SSL加密是很多安全性要求高的網站(例如網上銀行、在線交易等)廣泛採用的手段。一旦普通網站能夠得到該技術支持,針對高級入侵和數據偽造、數據挾持等手段的安全系數也會得到極大提升。
這次的快報,我們用很大的篇幅來介紹了動易CMS 2007版在安全方面所做的改進,安全防範是一個復雜的、涉及面極廣的負責工程,所以快報中的介紹也只能是簡單概述,但是可以明確的是:動易CMS 2007版絕對是一個在安全方面空前強大的系統。也證明了動易公司和動易開發團隊對於網站安全的重視程度和所做出的不懈努力。
2、動易CMS 資料庫問題
如果你是第一次使用的話,你可以到網站的後台將所有初使數據全部刪掉。
如果你的CMS已經用了很長時間的話,資料庫這么大完全正在,因為裡面儲存了你所有網站的數據,包括你的模板、用戶信息,新聞,等等
3、用動易cms架設網站,是不是需要安裝sql2005啊?
看你採用哪個程序語言,如果採用asp的語言,不必用sql資料庫,如果採用微版軟的 .net程序語言,那就要用權sql資料庫了,如果採用php語言可能要用到Mysql資料庫了!
本人建議用php的程序語言,簡潔快速,操作方便,php的cms很多,請在網上搜尋關鍵字「php整站程序源碼」你會發現國內國外的很多程序很優秀!網上也有很多教程,具體架設伺服器和數資料庫的話,請你HI我或qq6717969
4、請問一些動易CMS程序的初級問題
哈哈,我就用動易的,自己的伺服器。動易的,很簡單的,都是在後台設置的,只要明白設置的先後順序就可以了。
5、動易CMS系統,怎麼去掉下載頻道
系統設置
網站頻道管理
下載頻道
修改
禁用就可以了。
試試就知道。o(∩_∩)o...
6、為什麼安裝動易的cms注冊不了呢。我使用的是sql2000的資料庫
動易安裝後需要改data文件路徑,在conn.asp裡面改。
7、動易下載頻道如何添加iso類型文件下載的方法_動易Cms教程
動易網站治理系統的後台可以設置類型下載文件,但是即使在[系統設置]-[網站頻道治理]-[下載頻道]的「
答應上傳的文件類型」
中添加了「iso」文件類型,然後在新添加的下載中添加iso下載文件,但是在前台軟體地址中點擊iso文件下載地址,會出現「無法找到該頁面」的提示,相關軟體也無法下載。
8、動易的cms--PowerEasy SiteFactory 3.6在建立資料庫時出現問題!
在首頁模板中修改標簽,選用編輯模式,就是一個個類似A的圖標,點右鍵選擇編輯後,試試看。
我可以幫助你,你先設置我最佳答案後,我百度Hii教你。你的串號我已經記下,採納後我會幫你製作
9、請問一般情況下安裝網站cms系統是不是需要安裝資料庫啊?
給您推薦個CMS,
逐浪CMS,完全免費下載使用,
有教程和幫助信息,
有資料庫下載地址,需要2005以上的版本
您可以試下
安裝資料庫IIS等這些,是要運行本地