SHOPEX網店系統測試 旗下50萬家網站的安全另人擔心

不久前，很榮幸對國內老品牌、用戶數號稱50萬的網店系統——SHOPEX做了一個全盤測試，但測試結果並不理想，網站爆嚴重的安全漏洞，SHOPEX旗下50萬家用戶網站的安全另人擔心呀！
 

公司接到一個商城項目訂製業務，我看了一下大體需求，在功能方面到挺普通、界面風格與京東相似，但項目在系統安全方面要求卻很是高，能夠說相似一家銀行安全系統，安全應該是此項目的重頭戲。根據上級主管的要求，對國內老品牌、用戶數最多的SHOPEX網店系統進行了測試，並上交測試報告。如下內容，沒有權威機構認證，僅我的觀點，僅供參考。

通常性檢測
由於要對shoepx進行測試，便隨意在搜索引擎上搜索了一下shopex在安全方面和網友前期的體驗。

baidu 搜索SHOPEX漏洞

 

google 搜索SHOPEX漏洞

 

很顯然，經過初步對SHOPEX搜索體驗，在baidu、google搜索引擎上竟爆數十萬條安全漏洞信息，shopex系統在安全方面的缺陷不適合咱們項目的需求，但具體還須要進一步的測試。
 

SHOPEX軟件測試

操做系統      ：windows server 2008 r2

測試軟件      ：IBM rational appscan 8.0.0.3

測試目標      ：shopex 4.8.5

運行環境      ：apache 2.二、php 5.二、zendoptimizer 3.三、mysql 5.1

硬件環境      : Xeon 雙核2.26G、DDRIII 4GB、SATA 200GB

  檢測結果：

 

 

 

測試結果也代表，shopex系統在安全上是朝不保夕的， SQL注入漏洞是SHOPEX系統中最大的隱患，而且shopex網店系統是不提供源代碼的，後期在使用過程或出現bug本身是沒法修復；再者，shopex網店系統是基於php技術開發，後期要對系統進行功能擴展麻煩比較大，顯得力不從心。

 

單從SHOPEX功能、模板方面來看，SHOPEX確實是一款很好的網店系統，但從測試結果中SQL注入問題是shopex系統中最爲嚴重的安全問題，因 SQL安全漏洞現出的安全故事太多了。

因此，開店的朋友考慮網店的安全和擴展兩方面，SHOPEX不是最佳選擇。目前，知名電商系統、大型網站、銀行等系統，採用PHP技術的在劇減，或採用的是PHP與某種更安全的技術結合，或直接採用更安全的技術。

 

有網友疑問，SHOPEX旗下有50萬家用戶，怎麼沒有爆料過有大批量安全事故發生，且還一直受用戶青睞？

解釋：SHOPEX受廣大用戶青睞，是由於SHOPEX是針對中小型用戶端開發，功能也還算齊全，還有多模板選擇，價格方面又比較便宜，還有相對廉價的空間，因此在國內備受中小用戶喜歡；

 

SHOPEX目前沒有大批量發生安全事故，是由於98%的SHOPEX用戶是小商家用戶，其網站沒有出名度，黑客是不會去攻擊沒有名氣的網站的。但SQL注入是SHOPEX系統中最嚴重的高危漏洞，黑客利用漏洞能夠獲取管理員MD5密碼，碰撞破解得到原始密碼，破解成功率通常在95%以上。以前CSDN等網站泄密大多與SQL注入漏洞有關。

結論
因因果果，SHOPEX爆嚴重安全問題，並非說PHP語言自己就存在安全漏洞，咱們只能說採用PHP編寫的程序更容易由於編程疏忽而留下安全隱患而已。shopex網店系統SQL注入漏洞應該就是在編寫時存在的最大安全隱患。還有shoex網店系統只適合小型項目的使用，若是後期要對shopex系統進行功能擴展將會力人從心。

以上只是我的小小安全測試而已，目前，也沒有權威機構到夠去衡量某種技術、軟件或產品的好與壞，好與壞只能經過用戶體驗，讓數聽說話，比如10前的ASP技術同樣，推出時也盛行了一段時間，基於ASP開發的系統在後期使用過程卻頻繁爆安全事故，逐漸被新技術取代，慢慢處於淘汰的邊緣。