吴哥,不好意思。今天拿你的网站来看看!
大成天下网址 http://www.unnoo.com/ ,首先看了下首页,感觉还不错,典型的CMS结构。
界面布局感觉有些熟悉,似乎在哪见过。原来用的是CMS Made Simple,官方网址http://www.cmsmadesimple.org/。
既然知道了使用的产品,呵呵,下面到网上搜了下相关漏洞,发现了以下几个
| 2008-05-12 | CMS Made Simple <= 1.2.4 (FileManager module) File Upload Exploit | 3898 | R | D | EgiX | ||
| 2007-12-30 | CMS Made Simple <= 1.2.2 (TinyMCE module) SQL Injection Vuln | 3143 | R | D | EgiX | ||
| 2007-09-21 | CMS Made Simple 1.2 Remote Code Execution Vulnerability | 5755 | R | D | irk4z |
好的,来看看大成天下的网站是否在这些版本之中了,访问http://www.unnoo.com/doc/CHANGELOG.txt
得到结果
Version 1.4.1 "Spring Garden"
-----------------------------
- Fixes an issue with the "name" parameter being broken on the stylesheet tag
- Fixes an issue with changing group permissons on windows hosts
- Fixes an issue with group assignment
- Fixes a hard-coded table prefix in the css associations stuff
- Fixes a problem with REQUEST_URI not being set on IIS hosts (stupid windows)
- TinyMCE: Fixed problem with cmslinker not allowing to select parentpages
Fixed a small bug which could cause invalid relative urls to be generated
看来使用的是最新版了,安全意识还不错。
下面再来审核下最新代码的漏洞了,这纯粹是体力活,就不再向下看了。一来是考虑到吴哥面子,二来要是吴哥
网站被黑是我引起来的,那就太不好意思了。
最后总结下,总的来说安全意识很强,最有意思的是后台地址改为了http://www.unnoo.com/googlebaidu/login.php
但是缺陷也可想而知,因为代码是使用网上公开的,这就给别人研究漏洞的机会,有精力还是自己开发个比较安全。