今天由于工作的关系，我去找了许多网站去测试它们的后台。我本是硬件频道编辑，不做黑客已很多年。

很不幸地，路过几个“小站”，轻易地便拿到了它们的webshell，我心里不禁就涌起一种悲凉的感觉，这么多年了，我们国内网站的安全还就这么薄弱？

心痛，痛心。

我也感慨于这些年来我心情的改变。从高中时代参加中美黑客大站彻夜不眠的激动兴奋，到后来3389远程登陆在人家桌面上建文件说我来过一次看到你E盘里那么黄片的麻木不仁，再往后进入一个信息港没有用跳板没有清日志被警告从而终结了“黑客生涯”，已经停滞了整整三年。今天，再一次敲几下键盘动几下鼠标掌握了一个网站的系统权限后，我心中生出的，却是无尽的悲哀。

我还记得黑客守则中有一条规定是说不要在bbs上谈论你hack的任何事情。而我在这里还是要说一下，希望你们这些网站能看到了，添补好自己的漏洞，以免隐患扩大；那些无意看见下面这些信息的朋友，也请不要进去破坏，无益于对方，也无益于你自己。

1.http://www.keke163.com/

你用得nowshop商城的系统，存在一个致命的上传漏洞，传了一个小马上去看到你买的是虚拟空间下的个人套餐B，再对整个服务器进行测试，发现权限大的要命，跨站攻击完全可以实施。也没兴趣看你这一IP上都还有哪些域名绑定，心里直气得要紧，都等着死吧。05年麦当劳官方站被攻陷，正是被跨站漏洞所累。

2.http://www.cqpa.gov.cn/

瞧见没！瞧见了没！gov.cn政府网站的后缀，不怕，还是给你写在这里。没见过有你们这么做管理员的，ewebeditor默认路径和管理帐户密码统统没有修改。ewebeditor样式管理修改样式，修改允许上传asa文件，又一个小马。删文件，改首页，同样死路一条。注：这些我都没做。

这里只是提到两个说小不小说大不大的两个站，还不知道有多少网站存在各种各样的问题，同时也有成千上万的站因为你们存在着这样的问题而而面临着风险，我只是善意地提醒一下各位看到文章的网站安全人员，请多一点细心和耐心，是因为你没有技术吗？不是，只是因为你们的粗心大意……文中只提及了原理，没有提及实现方法，出了事与本人无任何关系。

真的哀其不幸，怒其不争!

Comments

郝燕-2006/8/3116:20:07

你很勇敢,政府网站也敢破,不错,有前途……

Ellayu-2006/9/222:18:14

哈哈，你以前是学什么的啊？一直没有讨论过：）

程棋-2006/9/412:57:23

你干硬件编辑有点屈才吧？：）

薇颀-2006/9/813:25:44

呵呵，你真行！

晶-2006/9/917:19:22

真是年轻有为：）跟你比我差远了～～现在的我只想找个小角落呆着而已。

王孟强-2006/9/1011:13:58

厉害~~

-2006/9/129:30:09

我看你做硬件编辑也屈才了

-2006/9/129:48:18

同意楼下的意见，赶快跳槽吧

Z.G.W.-2007/3/814:37:01

果然如大伙儿所愿，我现在到瑞星来上班了，做得是对付病毒和黑客的工作。。。

-2007/3/2417:25:35

多谢您对本站的关注，nowshop商城是测试网站，请多多指教，我的QQ：405613070