转一篇A哥的老文章
http://www.way2sec.com/doc/bbs_cmp.html
国内流行WEB论坛安全性大比拼
作者:analysist
网站:
http://www.way2sec.com [原先那个不是主力,我们搬家到了
http://www.c4st.cn]
近两年来,国内出现了多种流行的WEB论坛。说其流行,因为它们占有了国内90%以上的市场。其中有相当一部分是在国外论坛的基础
上修改,然后增加了适应国内需求的功能,但是也有不少论坛是完全原创的。
随着网络安全的地位越来越重要,评估论坛的指标除了功能和速度之外,安全性也被提到了一个相当重要的地位。由于大多数论坛作
者对安全的认识程度不高,或者对原版论坛的结构不大清楚,因此就产生了这样那样的安全问题。
国内的这些流行论坛,我有的只是进行了部分代码的检测,有的却进行了全面的安全评估,但是检测的结果非常令人担心,其中多数
论坛存在非常严重的安全问题,如果有效利用这些安全漏洞的话,入侵者不仅可以完全控制该论坛,而且可以渗透论坛所在的服务器,甚
至进一步入侵内网。
同时,由于国内绝大多数的论坛使用者对于这些论坛的安全性没有了解,所以我有必要在此全面的介绍一下这些论坛的安全性,希望
能为论坛的使用者提供一些帮助。当然,由于种种原因,我不会涉及到具体的漏洞细节,而只是把危害程度作为重点内容。
本文要介绍的流行WEB论坛包括BBS3000,BBSXP,DVBBS,LB5000,Discuz!,WDB,FastBoard,Snitz Forum,VBB和UT等。 为了描述
的完整性,在介绍论坛安全性的同时,我还会把论坛的相关知识简单介绍一下。
废话少说,我们下面进入正题。
【BBS3000】
全称:BBS3000
作者:yuzi
性质:原创
版权:免费/商业
最新版本:4.25
下载地址:
http://www.yuzi.net
论坛概貌:
访问链接图片...
主要变种:SODBBS/UMBBS
检测类型:全面检测
漏洞数量:多
严重程度
影响论坛:是
影响服务器:是
安全等级:低
使用建议:不建议使用。
【BBSXP】
全称:BBSXP
作者:yuzi
性质:原创
版权:免费/商业
最新版本:1.50
下载地址:
http://www.yuzi.net
论坛概貌:
访问链接图片...
检测类型:全面检测
漏洞数量:中低
严重程度
影响论坛:是
影响服务器:非
安全等级:中高
使用建议:如果你习惯了BBS3000的风格,但是却对BBS3000的安全性心存疑虑的话,可以考虑使用BBSXP。
【DVBBS】
全称:DVBBS
作者:沙滩
性质:原创
版权:免费/商业
最新版本:5.0 Final
下载地址:
http://www.aspsky.net
论坛概貌:
访问链接图片...
检测类型:全面检测
漏洞数量:少
严重程度
影响论坛:是
影响服务器:非
安全等级:高
使用建议:如果你使用WINDOWS + IIS作为服务器,那么就选择动网吧!。
【LB5000】
全称:LeoBoard 5000
作者:山鹰/花无缺
性质:修改自IkonBoard
版权:免费/商业
最新版本:LB5000XP 0830/LB5000MX 1.84
下载地址:
http://www.cgier.com
论坛概貌:
访问链接图片...
主要变种:LB5000XP/LB5000MX
检测类型:全面检测
漏洞数量:多
严重程度
影响论坛:是
影响服务器:是
安全等级:低
使用建议:如果你喜欢LB5000强大的功能,而又对安全性要求很低的话,那么就选择LB5000吧。
【Discuz!】
全称:Discuz! Board
作者:CrossDay
性质:修改自XMB
版权:免费/商业
最新版本:2.0
下载地址:
http://www.discuz.net
论坛概貌:
访问链接图片...
主要变种:CDB
检测类型:部分检测
漏洞数量:中
严重程度
影响论坛:是
影响服务器:否
安全等级:中
使用建议:如果你喜欢简洁实用,对安全性又没有特殊的要求,那么可以考虑使用CDB。
【WDB】
全称:Wander Board
作者:旅行
性质:原创
版权:免费
最新版本:W1230
下载地址:
http://www.lvxing.net
论坛概貌:
访问链接图片...
主要变种:WDBEI
检测类型:部分检测
漏洞数量:中
严重程度
影响论坛:是
影响服务器:是
安全等级:低
使用建议:如果你的服务器不支持Perl CGI,而你又喜欢LB5000风格的话,可以考虑使用WDB。
【FastBoard】
全称:FastBoard
作者:旅行
性质:原创
版权:商业
最新版本:1.4.4
下载地址:
http://www.fastboard.org
论坛概貌:
访问链接图片...
检测类型:部分检测
漏洞数量:中
严重程度
影响论坛:是
影响服务器:否
安全等级:中
使用建议:如果你对速度要求很高的话,可以考虑选择FastBoard。
【Snitz Forum】
全称:Snitz Forum
作者:Snitz Forum Develop Team
性质:汉化
版权:免费/商业
最新版本:3.4.03
下载地址:
http://www.snitz.com
论坛概貌:
访问链接图片...
检测类型:部分检测
漏洞数量:少
严重程度
影响论坛:是
影响服务器:是
安全等级:中
使用建议:如果你使用WINDOWS + IIS作为服务器,而又对功能和效率要求较高的话,可以考虑使用Snitz Forum
【VBB】
全称:Vbulletin Board
作者:Vbulletin Board Develop Team
性质:汉化
版权:商业
最新版本:2.2.9
下载地址:
http://www.vbulletin.com
论坛概貌:
访问链接图片...
主要变种:紫桐汉化:
http://www.chinavbb.com
篝火汉化:
http://www.gouhuo.com
火狐汉化:
http://www.cnvbb.com
检测类型:部分检测
漏洞数量:少
严重程度
影响论坛:是
影响服务器:否
安全等级:高
使用建议:使用Apache + PHP + MySQL的用户,VBB是最好的选择。
【UT】
全称:UltraThreads
作者:Kevin Wu
性质:原创
版权:商业
最新版本:1.0
下载地址:
http://www.ultrathreads.com
论坛概貌:
访问链接图片...
检测类型:全面检测
漏洞数量:少
严重程度
影响论坛:是
影响服务器:否
安全等级:高
使用建议:清晰的程序结构,严谨的编码风格,国内的论坛中可以称得上最好的。如果你喜欢Perl CGI论坛的话,选择这个绝对没错。
此外,phpBB,CTB和华育论坛使用的用户数量也还可以,但是毕竟还算不上主流,所以暂时不涉及它们。
这里必须要说明的一点是,以上数据只是作为当前情况的一个参考,并不能代表它们以后的发展,所以不要完全轻信这里推荐的安全
性比较高的论坛,而舍弃那些安全性比较低的论坛。因为选择论坛的指标还有功能,性能,稳定性和喜好等因素,更何况我们还不知道以
后这些论坛的安全性又是什么样子呢!
总的来说,国内论坛作者对安全的重视程度还不够高,但是从免费向商业的转化速度却很快。有个论坛就想收费,难道收费就那么简
单?据我所知,国外的VBB除了有专门的开发小组之外,还聘请了专业的安全测试人员,所以VBB成为世界最流行的论坛。国内的论坛开发
者们,是否有一点启示?
一个危险的论坛与后门没有任何区别,去年的LB5000事件,前些天的VBB后门事件,论坛的使用者们,难道不该也有所启示?
抢生意啊,哈哈:smokin:
