热搜词
发表于 2010-12-3 21:33:25 | 显示全部楼层 |阅读模式
今天,无意中在电脑里发现了一些几年前本人写的网站安全检测笔记,被检测的网站多数是宿迁地区有一定影响力的网站,基本上也都是用asp程序做的站,现在再回过头看看,这些被检测出来有安全漏洞网站,目前仍有半数以上的网站漏洞依然存在,其中有部分网站的漏洞是可以提权拿到shell权限的。有些网站的漏洞并不是很严重,如可以检测网站的后台地址、数据库地址、暴露出所有注册用户的账号及密码、网站插件有漏洞等等,为了防止有人趁机恶意攻击,本人就不公布相关网站的地址了,但也请相关站长注意加强网站安全,不然小漏洞也有可能导致大的安全事故。当然,还有一些有安全问题的网站现在已打不开了,如sqwww.cn、sqzxw.cn、0527.cc等,具体原因本人不详,我就不去猜测了。

      接下来重点说说关于“泗洪政府网”的一些情况,因为本人2006年5月在“泗洪风情”网发过一篇“来自泗洪政府网的安全检测报告”贴子,有兴趣的朋友可以再回顾一下原贴的内容,链接地址如下:
http://www.it0527.com/thread-9812-1-1.html
http://www.shfq.com/forum.php?mod=viewthread&tid=146871

      这个贴子中指出了“泗洪政府网”的一些严重安全问题,此站漏洞到可以拿下网站的shell权限,也就是可以控制网站,甚至可以再进一步控制整个网站服务器。由于发贴时,此站的漏洞还没有补上,本人只是点到为止,并没有透露此站漏洞的具体信息,也没有上传可以证明网站有漏洞的相关截图,记得此贴发布仅几天,此站的站长也知道了网站存在安全问题,做了一些安全补救措施,可是当笔者再次检测时,漏洞依然存在,可见站长并没有从根本上堵住漏洞的源头,本人不免有些惋惜。漏洞相关截图如下:
泗洪政府网管理后台.jpg

      大概是过了接近一年,也就是在2007年4月份左右,“泗洪政府网”终于开始改版了,原站被彻底抛弃,可见,站长一直没有放松在网站安全方面的努力,出于对新程序的兴致,本人再次检测了一下,该站由东南大学江苏高信公司重新建设,由原来的asp语言改用jsp语言,程序为东大高信公司自己开发的cms系统,网站的打开速度与安全都有了质的飞跃,到目前为止仍在使用中,希望此站会越办越好!

      好了,本次都写这么多,但愿此文能引起更多站长的关注,促使各位站长能够有一颗高度的责任心与安全意识,把家乡的网站越办越好!

全部评论1
黑夜里的狼 发表于 2011-10-1 10:53:53 | 显示全部楼层
悲剧的斑竹,这么辛苦,尽然没人顶贴
回复

使用道具 举报

回复
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|管理员之家 ( 苏ICP备2023053177号-2 )

GMT+8, 2024-11-23 00:45 , Processed in 0.151327 second(s), 25 queries .

Powered by Discuz! X3.5

Cpoyright © 2001-2024 Discuz! Team