几乎每个公司或团体都会建立自己的网站,但由于各种原因,大部分人会使用网上 公 布的一些CMS来构建自己的网 站,但却很少有人会关注自己使用的CMS是否安全。下面存在漏洞的校友录就是一个 很好的例子,攻破后,校友的个人信息将全部泄露。
一、对某CMS的初步安检
1.初步查看
某日,在安天365群里,同伴发过来一个网址,让我友情检测一下该网站的
安全,打开后感觉 人气还不错,界面也比较简洁 。如图1所示。
 |
| 图1 |
2.简单的安全测试
打开网站一看原来是个校友录,随便找个带参数的地方,加个单引
号,http://www.*********.com/gg.asp?id=100',
返回的 结果如图2所示。
 |
| 图2 |
很明显,程序做了防注入的处理,看来程序开发者还有点安全意识,做了一些安全措施,不过后来证明,防注
入也 只是检测了GET方法,并 未对POST和COOKIE做检测。正准备测试cookie注入,同伴kiss传了个源代码过来,
有源代码就 好办了,还是在本地测试安全,网上的毕竟是未 经授权的安全检测,多少存在一些风险。
| 共6页: 1 [2] [3] [4] [5] [6] 下一页 | ||||||||
|
