目錄X

你還敢用開源的CMS系統嗎？

今天看到《軟件世界》中關于開源的文章，講到開源一個好處：對于開源軟件而言，每天都有人在看源代碼，隨時都可以發現問題，隨時報告，有能力的就自己把安全問題修復了，然后發布出來給大家分享。然而我對此始終感到有些不對勁，卻一時又不知道到底哪里不對勁。聯想起最近鬧得滿城風雨的動易安全漏洞事件，忽然想到，這個“好處”對于使用開源CMS的網站來說，可能是一個最美麗的謊言和最大的惡夢！

對于一般的只是個人在自己電腦上使用的軟件（比如輸入法、小工具），開源的這個好處應該是很明顯、很正確的。但CMS與其他軟件產品不同，它是網站的運營基礎，它不僅僅是站長在使用，還接受著各種各樣的人群的訪問，這里除了正常的訪問外，每天還有大量的惡意訪問。如果CMS是開源的，則研究源代碼的除了用戶和愛好者以外，還有另一類人——“黑客”。現在的黑客很少有純粹只是為了研究技術的，特別是尋找CMS這樣的應用系統的漏洞的黑客，根本就沒有太多的技術和道德可言。他們研究CMS的漏洞只有一個動機，那就商業利益。近年來，大家發現自己的網站被黑后，黑客好像并不刪除數據，一般都只是加一個iFrame之類的病毒頁的調用，為什么呢？因為黑掉一個網站的利益很小，而將網站加上惡意代碼，讓訪問網站的人中病毒或木馬利益則非常大。通過“黑”掉一個網站，讓成千上萬的用戶中毒，最后形成龐大的“僵尸網絡”，以達到更大的利益。

對于絕大部分的用戶來說，并不具備修改代碼的能力，這樣的話，開源的CMS系統對他來說，與閉源并無二異。但對黑客來說，研究開源系統中的漏洞要比研究閉源系統中的漏洞容易得多。對于開源的系統，黑客可以通過閱讀源代碼直接尋找漏洞；而對閉源的CMS系統，則黑客只能進行暗箱測試來尋找漏洞，這樣的難度要比在源代碼中找漏洞難得多。所以，從這個角度來說，同一個系統不開放源代碼要比開放源代碼相對安全得多。

另一方面，CMS的開發商還沒有誰敢保證自己的系統沒有任何安全漏洞。因為“千里之堤，毀于蟻穴”，開發商要開發出比較安全的系統，需要付出極大的努力，但仍可能會因為百密一疏，只要一個地方沒有注意，就有可能讓黑客找到漏洞。而黑客只要找到一個漏洞，即可讓開發商辛苦建立的安全防線崩潰。一個是寫代碼，要做各種防護手段，一個是研究代碼，只需找到一個漏洞即可，開發商和黑客之間的較量，永遠會是黑客占盡上風！

動易一直將安全問題列為公司的重中之重，在安全方面投入了大量的人力物力，反復對代碼檢查了多遍，可以自豪的說在同類軟件中絕對是最安全的。但即使在已經發布了自認為最安全的SP5后，還是因為IIS的一個漏洞讓動易出現了最嚴重的安全漏洞，實在是讓我們感概不已。可能是樹大招風吧，現在動易是國內市場占用率最高的CMS系統，使用動易的網站超過了20萬，同時也引起了許多黑客的興趣，他們以尋找動易的漏洞為榮（或者是出于利益需求），在找到漏洞后并不公布，而是用來黑掉一個個站點，在網頁上加上木馬代碼。我們則只能一遍又一遍的檢查代碼，甚至反向思維從黑客的角度來查找動易的漏洞，直到今天，我們已經修復了所有已經發現的漏洞，但我們不敢保證系統中就沒有漏洞了。我們與黑客之間的斗爭將一直繼續，直到……