SHOPEX网店系统测试 旗下50万家网站的安全另人担忧
2012-10-10 13:47
330 查看
不久前,很荣幸对国内老品牌、用户数号称50万的网店系统——SHOPEX作了一个全盘测试,但测试结果并不理想,网站爆严重的安全漏洞,SHOPEX旗下50万家用户网站的安全另人担忧呀!
公司接到一个商城项目订制业务,我看了一下大致需求,在功能方面到挺普通、界面风格与京东类似,但项目在系统安全方面要求却非常高,可以说类似一家银行安全系统,安全应该是此项目的重头戏。根据上级主管的要求,对国内老品牌、用户数最多的SHOPEX网店系统进行了测试,并上交测试报告。以下内容,没有权威机构认证,仅个人观点,仅供参考。
一般性检测
因为要对shoepx进行测试,便随意在搜索引擎上搜索了一下shopex在安全方面和网友前期的体验。
baidu 搜索SHOPEX漏洞
google 搜索SHOPEX漏洞
很显然,通过初步对SHOPEX搜索体验,在baidu、google搜索引擎上竟爆数十万条安全漏洞信息,shopex系统在安全方面的缺陷不适合我们项目的需求,但具体还需要进一步的测试。
SHOPEX软件测试
操作系统 :windows server 2008 r2
测试软件 :IBM rational appscan 8.0.0.3
测试目标 :shopex 4.8.5
运行环境 :apache 2.2、php 5.2、zendoptimizer 3.3、mysql 5.1
硬件环境 : Xeon 双核2.26G、DDRIII 4GB、SATA 200GB
检测结果:
测试结果也表明,shopex系统在安全上是岌岌可危的, SQL注入漏洞是SHOPEX系统中最大的隐患,并且shopex网店系统是不提供源代码的,后期在使用过程或出现bug自己是无法修复;再者,shopex网店系统是基于php技术开发,后期要对系统进行功能扩展麻烦比较大,显得力不从心。
单从SHOPEX功能、模板方面来看,SHOPEX确实是一款很好的网店系统,但从测试结果中SQL注入问题是shopex系统中最为严重的安全问题,因 SQL安全漏洞现出的安全故事太多了。
所以,开店的朋友考虑网店的安全和扩展两方面,SHOPEX不是最佳选择。目前,知名电商系统、大型网站、银行等系统,采用PHP技术的在剧减,或采用的是PHP与某种更安全的技术结合,或直接采用更安全的技术。
有网友疑问,SHOPEX旗下有50万家用户,怎么没有爆料过有大批量安全事故发生,且还一直受用户青睐?
解释:SHOPEX受广大用户青睐,是因为SHOPEX是针对中小型用户端开发,功能也还算齐全,还有多模板选择,价格方面又比较便宜,还有相对廉价的空间,所以在国内备受中小用户喜欢;
SHOPEX目前没有大批量发生安全事故,是因为98%的SHOPEX用户是小商家用户,其网站没有出名度,黑客是不会去攻击没有名气的网站的。但SQL注入是SHOPEX系统中最严重的高危漏洞,黑客利用漏洞可以获取管理员MD5密码,碰撞破解获得原始密码,破解成功率一般在95%以上。之前CSDN等网站泄密大多与SQL注入漏洞有关。
结论
因因果果,SHOPEX爆严重安全问题,并不是说PHP语言本身就存在安全漏洞,我们只能说采用PHP编写的程序更容易因为编程疏忽而留下安全隐患而已。shopex网店系统SQL注入漏洞应该就是在编写时存在的最大安全隐患。还有shoex网店系统只适合小型项目的使用,如果后期要对shopex系统进行功能扩展将会力人从心。
以上只是个人小小安全测试而已,目前,也没有权威机构到够去衡量某种技术、软件或产品的好与坏,好与坏只能通过用户体验,让数据说话,好比10前的ASP技术一样,推出时也盛行了一段时间,基于ASP开发的系统在后期使用过程却频繁爆安全事故,逐渐被新技术取代,慢慢处于淘汰的边缘。
公司接到一个商城项目订制业务,我看了一下大致需求,在功能方面到挺普通、界面风格与京东类似,但项目在系统安全方面要求却非常高,可以说类似一家银行安全系统,安全应该是此项目的重头戏。根据上级主管的要求,对国内老品牌、用户数最多的SHOPEX网店系统进行了测试,并上交测试报告。以下内容,没有权威机构认证,仅个人观点,仅供参考。
一般性检测
因为要对shoepx进行测试,便随意在搜索引擎上搜索了一下shopex在安全方面和网友前期的体验。
baidu 搜索SHOPEX漏洞
google 搜索SHOPEX漏洞
很显然,通过初步对SHOPEX搜索体验,在baidu、google搜索引擎上竟爆数十万条安全漏洞信息,shopex系统在安全方面的缺陷不适合我们项目的需求,但具体还需要进一步的测试。
SHOPEX软件测试
操作系统 :windows server 2008 r2
测试软件 :IBM rational appscan 8.0.0.3
测试目标 :shopex 4.8.5
运行环境 :apache 2.2、php 5.2、zendoptimizer 3.3、mysql 5.1
硬件环境 : Xeon 双核2.26G、DDRIII 4GB、SATA 200GB
检测结果:
测试结果也表明,shopex系统在安全上是岌岌可危的, SQL注入漏洞是SHOPEX系统中最大的隐患,并且shopex网店系统是不提供源代码的,后期在使用过程或出现bug自己是无法修复;再者,shopex网店系统是基于php技术开发,后期要对系统进行功能扩展麻烦比较大,显得力不从心。
单从SHOPEX功能、模板方面来看,SHOPEX确实是一款很好的网店系统,但从测试结果中SQL注入问题是shopex系统中最为严重的安全问题,因 SQL安全漏洞现出的安全故事太多了。
所以,开店的朋友考虑网店的安全和扩展两方面,SHOPEX不是最佳选择。目前,知名电商系统、大型网站、银行等系统,采用PHP技术的在剧减,或采用的是PHP与某种更安全的技术结合,或直接采用更安全的技术。
有网友疑问,SHOPEX旗下有50万家用户,怎么没有爆料过有大批量安全事故发生,且还一直受用户青睐?
解释:SHOPEX受广大用户青睐,是因为SHOPEX是针对中小型用户端开发,功能也还算齐全,还有多模板选择,价格方面又比较便宜,还有相对廉价的空间,所以在国内备受中小用户喜欢;
SHOPEX目前没有大批量发生安全事故,是因为98%的SHOPEX用户是小商家用户,其网站没有出名度,黑客是不会去攻击没有名气的网站的。但SQL注入是SHOPEX系统中最严重的高危漏洞,黑客利用漏洞可以获取管理员MD5密码,碰撞破解获得原始密码,破解成功率一般在95%以上。之前CSDN等网站泄密大多与SQL注入漏洞有关。
结论
因因果果,SHOPEX爆严重安全问题,并不是说PHP语言本身就存在安全漏洞,我们只能说采用PHP编写的程序更容易因为编程疏忽而留下安全隐患而已。shopex网店系统SQL注入漏洞应该就是在编写时存在的最大安全隐患。还有shoex网店系统只适合小型项目的使用,如果后期要对shopex系统进行功能扩展将会力人从心。
以上只是个人小小安全测试而已,目前,也没有权威机构到够去衡量某种技术、软件或产品的好与坏,好与坏只能通过用户体验,让数据说话,好比10前的ASP技术一样,推出时也盛行了一段时间,基于ASP开发的系统在后期使用过程却频繁爆安全事故,逐渐被新技术取代,慢慢处于淘汰的边缘。
相关文章推荐
- 构建高安全电子商务网站之(网站文件及数据库自动本地/异地双备份)[连载之电子商务系统架构]
- DNS解析服务使用的系统对网站的安全起着很重要的作用
- Linux系统Web网站目录和文件安全权限设置
- EntLib.com 电子商务系统 v2.5 – 前台购物网站/网店发布免费下载!
- shopex 网店系统安装教程
- 如何自动化地测试您的功能安全相关的软件系统?
- windows sever 2008系统,internet explorer增强安全配置正在阻止来自下列网站的内容
- 网站测试自动化系统—收集测试结果
- 如何设计网站安全账号系统
- 某网站系统测试
- 20155325 2017-2018 1 课上测试、课下作业、实验——码云&博客链接汇总 《信息安全系统设计基础》
- BackTrack4――利用渗透测试保证系统安全
- 网站安全检测:推荐8款免费的 Web 安全测试工具
- EntLib.com 电子商务系统 v2.5 – 前台购物网站/网店发布免费下载!
- AIX系统安全测试方法
- 软测试-计算机组成原理、系统和网络安全机构
- shopex 网店系统基于云登录系统的信任登录设置
- 网站测试自动化系统—系统应该有的功能
- shopex网店系统数据库安装失败解决方法