这两天到了贵州省红十字会救护培训中心上班了,负责网站开发建设及网站管理等工作。之前中心已经和中联网贵阳分公司签了7800的建站协议,我知道后大吃一惊,因为一台服务器的电信托管费用也就6000块,而一般企业建站也就2000多块,最高不超过5000。不过这是单位与单位之间的事儿,我刚来也管不了。
今天去钻石广场的中联网贵阳分公司拿域名及FTP密码,当时没拿成,因为我没带单位的章去,回来在FTP申请协议上盖了章传真过去,他们才把密码传了过来。这一趟,我在他们公司看到了实际的工作场景,两三个女生拿着电话黄页不断的打电话给其他公司推销建站,还有两个男生也在不断接电话谈业务的事,再就是有两个女客户在电脑前要稍微闲一点,还有两三个办公桌吧,就是搞图片设计或是建站了。也就如此,网站业务是这样做下去的。
后来,我打开了他们公司的http://www.bobcn.com网站,有一些产品分类宣传及公司网站作品展示,及供求信息,页面也比较简单。查询了一下世界排名,30多万,还没我的yl169.cn前段时间的高。再一测试安全,晕死,有好多注入点,因为没有工具,我就没有作进一步的测试了。
原先他们为中心做的http://www.jhpxzx.com就有注入漏洞,没想到自己的主站也有,我看这不是个别案例了。像这样的公司做出来的网站也是华而不实,而且数据安全根本就没有保障。
现在回家了,漏洞就如图所示,整站就目前没有安全可言了。
通过工具,很轻易的就得到管理员用户名及密码:
检测的表段:[admin]
—————————————-
[admin_pass] : zlw******(隐去数字) [admin_id] : 1 [admin_name] : zlsj
—————————————-
收集时间:2006-03-17 18:42:00
通过管理登陆入口:http://www.bobcn.com/admin/login.asp 登陆,就可以进行系统管理了!!
其实这是一个网站代码暴露已久的漏洞,通过十多行代码就可以解决的。可是网站建设及管理人员根本就没有意识到这一点。而且所做出去的网站也存在这样的安全隐患,这样的事情我看都是公司老大对营销的过于看重而疏忽技术吧,也就存在了产品质量得不到保证。
后记:4月份,中联网就关门了,几百个客户资料转给了贵州企业网。后来我直接把域名过户过来,直接向服务商续费,也从新配置了一台网站服务器托管到电信。
