关于泗洪政府网的安全检测报告续(二)

今天，无意中在电脑里发现了一些几年前本人写的网站安全检测笔记，被检测的网站多数是宿迁地区有一定影响力的网站，基本上也都是用asp程序做的站，现在再回过头看看，这些被检测出来有安全漏洞网站，目前仍有半数以上的网站漏洞依然存在，其中有部分网站的漏洞是可以提权拿到shell权限的。有些网站的漏洞并不是很严重，如可以检测网站的后台地址、数据库地址、暴露出所有注册用户的账号及密码、网站插件有漏洞等等，为了防止有人趁机恶意攻击，本人就不公布相关网站的地址了，但也请相关站长注意加强网站安全，不然小漏洞也有可能导致大的安全事故。当然，还有一些有安全问题的网站现在已打不开了，如sqwww.cn、sqzxw.cn、0527.cc等，具体原因本人不详，我就不去猜测了。

      接下来重点说说关于“泗洪政府网”的一些情况，因为本人2006年5月在“泗洪风情”网发过一篇“来自泗洪政府网的安全检测报告”贴子，有兴趣的朋友可以再回顾一下原贴的内容，链接地址如下：
http://www.it0527.com/thread-9812-1-1.html
http://www.shfq.com/forum.php?mod=viewthread&tid=146871

      这个贴子中指出了“泗洪政府网”的一些严重安全问题，此站漏洞到可以拿下网站的shell权限，也就是可以控制网站，甚至可以再进一步控制整个网站服务器。由于发贴时，此站的漏洞还没有补上，本人只是点到为止，并没有透露此站漏洞的具体信息，也没有上传可以证明网站有漏洞的相关截图，记得此贴发布仅几天，此站的站长也知道了网站存在安全问题，做了一些安全补救措施，可是当笔者再次检测时，漏洞依然存在，可见站长并没有从根本上堵住漏洞的源头，本人不免有些惋惜。漏洞相关截图如下：


      大概是过了接近一年，也就是在2007年4月份左右，“泗洪政府网”终于开始改版了，原站被彻底抛弃，可见，站长一直没有放松在网站安全方面的努力，出于对新程序的兴致，本人再次检测了一下，该站由东南大学江苏高信公司重新建设，由原来的asp语言改用jsp语言，程序为东大高信公司自己开发的cms系统，网站的打开速度与安全都有了质的飞跃，到目前为止仍在使用中，希望此站会越办越好！

      好了，本次都写这么多，但愿此文能引起更多站长的关注，促使各位站长能够有一颗高度的责任心与安全意识，把家乡的网站越办越好！

悲剧的斑竹，这么辛苦，尽然没人顶贴