关于泗洪政府网的安全检测报告续(二)
今天,无意中在电脑里发现了一些几年前本人写的网站安全检测笔记,被检测的网站多数是宿迁地区有一定影响力的网站,基本上也都是用asp程序做的站,现在再回过头看看,这些被检测出来有安全漏洞网站,目前仍有半数以上的网站漏洞依然存在,其中有部分网站的漏洞是可以提权拿到shell权限的。有些网站的漏洞并不是很严重,如可以检测网站的后台地址、数据库地址、暴露出所有注册用户的账号及密码、网站插件有漏洞等等,为了防止有人趁机恶意攻击,本人就不公布相关网站的地址了,但也请相关站长注意加强网站安全,不然小漏洞也有可能导致大的安全事故。当然,还有一些有安全问题的网站现在已打不开了,如sqwww.cn、sqzxw.cn、0527.cc等,具体原因本人不详,我就不去猜测了。接下来重点说说关于“泗洪政府网”的一些情况,因为本人2006年5月在“泗洪风情”网发过一篇“来自泗洪政府网的安全检测报告”贴子,有兴趣的朋友可以再回顾一下原贴的内容,链接地址如下:
http://www.it0527.com/thread-9812-1-1.html
http://www.shfq.com/forum.php?mod=viewthread&tid=146871
这个贴子中指出了“泗洪政府网”的一些严重安全问题,此站漏洞到可以拿下网站的shell权限,也就是可以控制网站,甚至可以再进一步控制整个网站服务器。由于发贴时,此站的漏洞还没有补上,本人只是点到为止,并没有透露此站漏洞的具体信息,也没有上传可以证明网站有漏洞的相关截图,记得此贴发布仅几天,此站的站长也知道了网站存在安全问题,做了一些安全补救措施,可是当笔者再次检测时,漏洞依然存在,可见站长并没有从根本上堵住漏洞的源头,本人不免有些惋惜。漏洞相关截图如下:
大概是过了接近一年,也就是在2007年4月份左右,“泗洪政府网”终于开始改版了,原站被彻底抛弃,可见,站长一直没有放松在网站安全方面的努力,出于对新程序的兴致,本人再次检测了一下,该站由东南大学江苏高信公司重新建设,由原来的asp语言改用jsp语言,程序为东大高信公司自己开发的cms系统,网站的打开速度与安全都有了质的飞跃,到目前为止仍在使用中,希望此站会越办越好!
好了,本次都写这么多,但愿此文能引起更多站长的关注,促使各位站长能够有一颗高度的责任心与安全意识,把家乡的网站越办越好!
悲剧的斑竹,这么辛苦,尽然没人顶贴
页:
[1]