zzzcms程序安全说明及使用中注意的安全事项

网站安全作为建站过程中是一项非常重要的工作，也是最让人头疼的工作。

zzzcms为了让zzzcms更安全，更放心的使用，特意又去学习了一遍注入方面的技术，本文再此分享给大家。

总结注入方法：

一句话木马注入【已修复】

写法很多，就是找网站上可提交的表单或地址栏输入一句话木马，寻找可写入数据库的位置，如果程序未过滤，将瞬间获取网站空间的管理权

危害系数5星。

数据库路径【自己修改】

很多站长为了省事，下载好了cms程序，改一改模板就上线了，数据库路径也不改，留下了很大的隐患。

由于cms是开源系统，数据库的路径、名称、字段都是人尽揭晓，所以很可能通过数据库寻找突破口。

本程序在本地升级中，增加了防下载、防读取功能。

数据库路径如果是安全的，即使一句话木马注入，一时半会他也找不到执行口，这样也还是安全的。

危害系数5星

变异木马【已知已过滤】

变异木马其实就是将一句话木马变形，例如变成数字，变成asic码，变异编码，js编码等等以跳过程序的安全监测和过滤。

危害系数4星，

后台目录【自己修改】

后台目录具有最高的管理权限和大量的数据提交位置，所以后台目录的隐蔽性极其重要，zzzcms在前台没有暴漏后台路径的地方，所以站长们，切记一定要修改后台管理目录。
修改方法：文件夹改名，config/zzz_config.asp 改一下名字。

危害系数4星

管理密码【自己修改】

这个问题其实不是问题，但确实有大量的管理员，就愿意用admin,123456这样的初始密码，不愿意改或忘记改，如果是这个原因被黑，只能说nozuonodie。

危害系数3星

上传【自己注意】

正常情况下，只要不允许上传asp等执行文件，也是很难有什么作为的，但如果前台开放上传功能，并通过iis漏洞，上传可执行文件或jpg木马就另当别论了，这就要提醒使用自建服务器xp和win2003的站长了，建议升级iis版本及漏洞。

危害系数2星

config路径【自己修改】

已知aspcms注入漏洞，90%以上都是从config.asp上做入口，所以使用zzzcms，config文件路径隐蔽起来是十分必要的，在程序崩溃之前，黑客也毫无办法，当然如果您开启了详细报错，路径也就暴漏了，所以iis和空间设置位置的报错还是关闭的好。

修改方法：1.文件夹改名config，2.文件改名 /config/zzz_config.asp，3.修改两处引入/inc/zzz_class.asp,/inc/imgcode.asp

危害系数2星

IIS报错一定要关闭。

保持程序更新，本站会一直做升级补丁，保证每位用户的安全。

最后请大家去下载zzzcms程序使用吧

zzzcms开源免费建站系统最新版下载地址： http://down.admin5.com/asp/133344.html