看大成天下网站安全

吴哥，不好意思。今天拿你的网站来看看！

大成天下网址 http://www.unnoo.com/ ，首先看了下首页，感觉还不错，典型的CMS结构。

界面布局感觉有些熟悉，似乎在哪见过。原来用的是CMS Made Simple,官方网址http://www.cmsmadesimple.org/。

既然知道了使用的产品，呵呵，下面到网上搜了下相关漏洞，发现了以下几个

2008-05-12	CMS Made Simple <= 1.2.4 (FileManager module) File Upload Exploit	3898	R		D		EgiX
2007-12-30	CMS Made Simple <= 1.2.2 (TinyMCE module) SQL Injection Vuln	3143	R		D		EgiX
2007-09-21	CMS Made Simple 1.2 Remote Code Execution Vulnerability	5755	R		D		irk4z

好的，来看看大成天下的网站是否在这些版本之中了，访问http://www.unnoo.com/doc/CHANGELOG.txt

得到结果

Version 1.4.1 "Spring Garden"

-----------------------------

- Fixes an issue with the "name" parameter being broken on the stylesheet tag

- Fixes an issue with changing group permissons on windows hosts

- Fixes an issue with group assignment

- Fixes a hard-coded table prefix in the css associations stuff

- Fixes a problem with REQUEST_URI not being set on IIS hosts (stupid windows)

- TinyMCE: Fixed problem with cmslinker not allowing to select parentpages

Fixed a small bug which could cause invalid relative urls to be generated

看来使用的是最新版了，安全意识还不错。

下面再来审核下最新代码的漏洞了，这纯粹是体力活，就不再向下看了。一来是考虑到吴哥面子，二来要是吴哥

网站被黑是我引起来的，那就太不好意思了。

最后总结下，总的来说安全意识很强，最有意思的是后台地址改为了http://www.unnoo.com/googlebaidu/login.php

但是缺陷也可想而知，因为代码是使用网上公开的，这就给别人研究漏洞的机会，有精力还是自己开发个比较安全。