سوال: امنیت cmsهای موجود [بایگانی]

View Full Version : سوال: امنیت cmsهای موجود

shirin tagh

یک شنبه 27 دی 1388, 18:51 عصر

یه سوال داشتم که تو تالار نتونستم جواب دلخواهم رو پیدا کنم، بنابراین تاپیک جدا زدم
سوال اینه که اساساً cmsهای موجود در بازار با چه برنامه نویسی باشن که از حداکثر امنیت برخوردار باشند؟(البته می دونم که بستگی به مهارت فروشنده در رفع عیب در باگها و تنظیمات cmsهست)
منظور اینه که مثلاً برای یک اداره دولتی که هر روز امکان هک شدنش از طرف گروههای هکر با گرایشات مختلف(مثلاً سیاسی) هست علاوه بر انتخاب هاستی قوی و مطمئن چه نوع cms (از نظر برنامه نویسی) باید گرفت؟
طبق بررسی هایی که تا الان از افراد مختلف و اینترنت داشتم این طور استنباط کردم که بهترین نوع cms ، با asp و .net هست.
آیا این استنباط درسته یا نه؟
برای توضیح بهتر یه مثال هم می زنم:
مثلاً من سه تا سایت جوملا برای چند جا خریدم و از چند نفر خواستم هکش کنن (البته باز می دونم که بستگی به مهارت شرکت فروشنده جوملا در رفع نقص ها و باگ ها داره)، تمام بچه ها تونستن به هر سه سایت نفوذ کنن، اما یه cms که با asp نوشته شده بود رو ازشون خواستم که خیلی هاشون اصلاً aspکار نبودن و بقیه هم نتونستن نفوذی داشته باشن (البته سایتش هم همچین چیز درست و درمونی نبود)
منظور اینه که یه سری از برنامه نویسی ها رو دیگه تقریباً همه اینکاره ها بلدن ولی یه سری شون کار هر کسی نیست هک کردن و تخصص بالا می خواد
در آخر باز بگم که میدونم امنیت هیچ سایتی صد در صد نیست!(چقدر من میدونم:بامزه::لبخند:
نمی دونم منظورم رو رسوندم یا نه؟
نظرات اساتید و اهل فن راهگشا خواهد بود

CYCLOPS

یک شنبه 27 دی 1388, 19:09 عصر

سلام
ورودتون رو به سایت برنامه نویس تبریک میگم :چشمک:
من فکر نکنم ارتباط خاصی بین زبان برنامه نویسی CMS و امنیت اون وجود داشته باشه
اگر واقعا جوملا اینقدر ظعیف بود مسلما بعد از چند وقت به طور کامل از صحنه حذف میشد پس وقتی وجود داره یعنی حرفی برای گفتن داره خیلی محصولات میان و میرن ولی محصولاتی که باقی موندن جای تامل دارن
ولی یک نکته که به ذهنم میرسه این هست که مسلما دات نت چه تو بستر ویندوز و چه تو بستر وب مکانیزم های طبقه بندی شده خوبی برای برقراری امنیت داره این به این معنی هست که اون شرکتی که داره CMS تولید میکنه اگر این کاره باشه میتونه بهتر از محصولش دفاع کنه ولی همین درجه امنیت شاید توسط بستر های دیگه با سختی بیشتری به دست بیاد و به همین دلیل شاید جایی غیر از دات نت پیاده سازیش به صرفه نباشه
ولی این دلیل بر امن بودن بستر دات نت به طور محض نیست . . .
بازم میگم به نظر من ارتباط مطلقی بین امنیت و زبان برنامه نویسی پیاده سازی وجود نداره به قول معروف آدم تو هر کاری بهترین باشه موفق میشه حالا این بهترین بودن میتونه تو حوزه دات نت باشه یا هر بستر دیگه ای
موفق باشید

BackTrace

چهارشنبه 07 بهمن 1388, 15:41 عصر

سلام، مسلما بین زبان برنامه نویسی و امنیت یک وب سایت ارتباط وجود داره. برای اطلاعات بیشتر میتونین کتاب زیر رو بخونین.

19 Deadly Sins of Software Security: Programming Flaws and How to Fix Them

به نظر بنده و همونطور که CYCLOPS جان گفتن، درحال حاضر بهتره از Net. برای نوشتن یک CMS استفاده بشه چون هنوز باگ های زیادی توش پیدا نشده. CMSهای موجود مثل مامبو و جوملا چون Free هستن و همه جا پیدا میشن، زیاد مورد توجه قرار گرفته و باگ هاشون زود پیدا و منتشر میشن. دراین زمینه میتونین به milw0rm.com یه سری بزنین.
به هرحال برای بالابردن امنیت وب سایت تون باید اون رو همیشه تست کنین. برای تست وب سایت ها میتونین از Scannerهای موجود مثل Nikto و ... استفاده کنین. ابزار joomscan که مخصوص تست جوملا هست هم میتونه کمک زیادی در پیدا کردن نفوذپذیری ها به شما بکنه. البته هدف شما در استفاده از چنین ابزارهایی به رنگ کلاه تون بستگی داره!

پیروز باشید.