今天由于工作的关系,我去找了许多网站去测试它们的后台。我本是硬件频道编辑,不做黑客已很多年。
很不幸地,路过几个“小站”,轻易地便拿到了它们的webshell,我心里不禁就涌起一种悲凉的感觉,这么多年了,我们国内网站的安全还就这么薄弱?
心痛,痛心。
我也感慨于这些年来我心情的改变。从高中时代参加中美黑客大站彻夜不眠的激动兴奋,到后来3389远程登陆在人家桌面上建文件说我来过一次看到你E盘里那么黄片的麻木不仁,再往后进入一个信息港没有用跳板没有清日志被警告从而终结了“黑客生涯”,已经停滞了整整三年。今天,再一次敲几下键盘动几下鼠标掌握了一个网站的系统权限后,我心中生出的,却是无尽的悲哀。
我还记得黑客守则中有一条规定是说不要在bbs上谈论你hack的任何事情。而我在这里还是要说一下,希望你们这些网站能看到了,添补好自己的漏洞,以免隐患扩大;那些无意看见下面这些信息的朋友,也请不要进去破坏,无益于对方,也无益于你自己。
1.http://www.keke163.com/
你用得nowshop商城的系统,存在一个致命的上传漏洞,传了一个小马上去看到你买的是虚拟空间下的个人套餐B,再对整个服务器进行测试,发现权限大的要命,跨站攻击完全可以实施。也没兴趣看你这一IP上都还有哪些域名绑定,心里直气得要紧,都等着死吧。05年麦当劳官方站被攻陷,正是被跨站漏洞所累。
2.http://www.cqpa.gov.cn/
瞧见没!瞧见了没!gov.cn政府网站的后缀,不怕,还是给你写在这里。没见过有你们这么做管理员的,ewebeditor默认路径和管理帐户密码统统没有修改。ewebeditor样式管理修改样式,修改允许上传asa文件,又一个小马。删文件,改首页,同样死路一条。注:这些我都没做。
这里只是提到两个说小不小说大不大的两个站,还不知道有多少网站存在各种各样的问题,同时也有成千上万的站因为你们存在着这样的问题而而面临着风险,我只是善意地提醒一下各位看到文章的网站安全人员,请多一点细心和耐心,是因为你没有技术吗?不是,只是因为你们的粗心大意……文中只提及了原理,没有提及实现方法,出了事与本人无任何关系。
真的哀其不幸,怒其不争!
Comments
郝燕-2006/8/3116:20:07
你很勇敢,政府网站也敢破,不错,有前途……
Ellayu-2006/9/222:18:14
哈哈,你以前是学什么的啊?一直没有讨论过:)
程棋-2006/9/412:57:23
你干硬件编辑有点屈才吧?:)
薇颀-2006/9/813:25:44
呵呵,你真行!
晶-2006/9/917:19:22
真是年轻有为:)跟你比我差远了~~现在的我只想找个小角落呆着而已。
王孟强-2006/9/1011:13:58
厉害~~
-2006/9/129:30:09
我看你做硬件编辑也屈才了
-2006/9/129:48:18
同意楼下的意见,赶快跳槽吧
Z.G.W.-2007/3/814:37:01
果然如大伙儿所愿,我现在到瑞星来上班了,做得是对付病毒和黑客的工作。。。
-2007/3/2417:25:35
多谢您对本站的关注,nowshop商城是测试网站,请多多指教,我的QQ:405613070