SHOPEX网店系统测试 旗下50万家网站的安全另人担心

不久前，很荣幸对国内老品牌、用户数号称50万的网店系统——SHOPEX做了一个全盘测试，但测试结果并不理想，网站爆严重的安全漏洞，SHOPEX旗下50万家用户网站的安全另人担心呀！
 

公司接到一个商城项目订制业务，我看了一下大体需求，在功能方面到挺普通、界面风格与京东相似，但项目在系统安全方面要求却很是高，能够说相似一家银行安全系统，安全应该是此项目的重头戏。根据上级主管的要求，对国内老品牌、用户数最多的SHOPEX网店系统进行了测试，并上交测试报告。如下内容，没有权威机构认证，仅我的观点，仅供参考。

通常性检测
由于要对shoepx进行测试，便随意在搜索引擎上搜索了一下shopex在安全方面和网友前期的体验。

baidu 搜索SHOPEX漏洞

 

google 搜索SHOPEX漏洞

 

很显然，经过初步对SHOPEX搜索体验，在baidu、google搜索引擎上竟爆数十万条安全漏洞信息，shopex系统在安全方面的缺陷不适合咱们项目的需求，但具体还须要进一步的测试。
 

SHOPEX软件测试

操做系统      ：windows server 2008 r2

测试软件      ：IBM rational appscan 8.0.0.3

测试目标      ：shopex 4.8.5

运行环境      ：apache 2.二、php 5.二、zendoptimizer 3.三、mysql 5.1

硬件环境      : Xeon 双核2.26G、DDRIII 4GB、SATA 200GB

  检测结果：

 

 

 

测试结果也代表，shopex系统在安全上是朝不保夕的， SQL注入漏洞是SHOPEX系统中最大的隐患，而且shopex网店系统是不提供源代码的，后期在使用过程或出现bug本身是没法修复；再者，shopex网店系统是基于php技术开发，后期要对系统进行功能扩展麻烦比较大，显得力不从心。

 

单从SHOPEX功能、模板方面来看，SHOPEX确实是一款很好的网店系统，但从测试结果中SQL注入问题是shopex系统中最为严重的安全问题，因 SQL安全漏洞现出的安全故事太多了。

因此，开店的朋友考虑网店的安全和扩展两方面，SHOPEX不是最佳选择。目前，知名电商系统、大型网站、银行等系统，采用PHP技术的在剧减，或采用的是PHP与某种更安全的技术结合，或直接采用更安全的技术。

 

有网友疑问，SHOPEX旗下有50万家用户，怎么没有爆料过有大批量安全事故发生，且还一直受用户青睐？

解释：SHOPEX受广大用户青睐，是由于SHOPEX是针对中小型用户端开发，功能也还算齐全，还有多模板选择，价格方面又比较便宜，还有相对廉价的空间，因此在国内备受中小用户喜欢；

 

SHOPEX目前没有大批量发生安全事故，是由于98%的SHOPEX用户是小商家用户，其网站没有出名度，黑客是不会去攻击没有名气的网站的。但SQL注入是SHOPEX系统中最严重的高危漏洞，黑客利用漏洞能够获取管理员MD5密码，碰撞破解得到原始密码，破解成功率通常在95%以上。以前CSDN等网站泄密大多与SQL注入漏洞有关。

结论
因因果果，SHOPEX爆严重安全问题，并非说PHP语言自己就存在安全漏洞，咱们只能说采用PHP编写的程序更容易由于编程疏忽而留下安全隐患而已。shopex网店系统SQL注入漏洞应该就是在编写时存在的最大安全隐患。还有shoex网店系统只适合小型项目的使用，若是后期要对shopex系统进行功能扩展将会力人从心。

以上只是我的小小安全测试而已，目前，也没有权威机构到够去衡量某种技术、软件或产品的好与坏，好与坏只能经过用户体验，让数听说话，比如10前的ASP技术同样，推出时也盛行了一段时间，基于ASP开发的系统在后期使用过程却频繁爆安全事故，逐渐被新技术取代，慢慢处于淘汰的边缘。