惊！网站脱裤实录

牟晓东

路遇网站，小试牛刀

这两天，我正在几个教育辅导机构的网站转悠，上这些网站下载资料都要求注册，而且还要求提供手机和生日等私密信息。我决定随机选择其中一个网站，检查一下安全性到底做得如何。

我在网站首页随意点击了一条新闻链接，该新闻的地址显示为：http://www. xx.com/show_news.asp?id=167&ssfl=2（域名用xx代替）。这个“news.asp?id=”引起了我的注意，这说明网站是基于ASP构建，而这种形式的网址也往往存在注入漏洞。

于是，我打开一款名为“明小子旁注WEB综合检测程序”的小工具，然后依次进入“SQL注入”→“SQL注入猜解检测”。我将网站的新闻地址插入到“注入点”输入框，并点击“开始检测”按钮。很快便得知该网站用的是Access数据库，网站存在注入点。

随后，我又点击程序窗口左侧的“猜解表名”按钮，得到如下信息：数据库4个，admin、users、news和config。当时我就震惊了，竟然有admin这个表（这个表中都是存放权限控制信息）！选中“admin”后，再点击“猜解列名”按钮，工具又解析出了表中的信息：“列名：3个，admin、password和id”（如图1）。

哎，这网站安全性做得也太差了，说不定还能直接找到管理员账号！我一边琢磨，一边勾选窗口中的admin和password两列，并点击“猜解内容”按钮来印证自己的想法。

工具虽未破解出admin的值（显示为“—检”），但却找到了各账号对应的password信息（用MD5加密）。好在，我将密码拿到几个在线MD5破解网站破解时，却并未成功。看来，管理员密码很强壮，我舒了口气（如图2）。

My God，网站早已被黑

既然网站存在注入点，说明它还是有安全漏洞的，至少存在代码提交过滤不严的问题。于是，我决定再猜猜网站的后台管理页面地址。

这次，我找来了一款名为“啊D注入工具”的小工具帮忙。启动程序后，切换至“管理入口检测”窗口，在“网站地址”处插入新闻页面的网址，并点击“检测管理入口”按钮。很快，这厮就扫描出了一大堆“可用连接和目录位置”（如图3）。

根据字面意思，便能猜测出各个页面的大致功能。比如，http://www.xx.com/ admin/index.asp，肯定是后台管理页面；而http://www.xx.com/UploadFile/应该是上

传文件的页面。而当我打开该上传页面时，发现该页面竟存在目录浏览的低级漏洞（如图4）！

在该页面中，我点击“[转到父目录]”，结果来到了网站首页。可点击“201106”，却发现了大量的JPG图片文件。蹊跷的是，该目录中三个最新文件的大小都是77 536字节。难道，真有这么巧？

抱着怀疑的态度，我先点击了最后一张图片，结果却打开了一个网页！仔细一看页面内容才恍然大悟—这个网站早被黑了（如图5）。我又点击了几个“图片”文件看了下，竟还发现了上古时代的木马—“海阳顶端网ASP木马红粉佳人版”的踪迹。大意的网站管理员啊，“尼玛”叫我怎敢来这儿注册账号呀！

顺藤摸瓜，网站竟然被“脱裤”

看来，这网站的后台都快成黑客们的菜园子了，但更为严重的问题还在后面！

还记得刚才扫描到的各个页面吗？仔细一看，其中还有一个http://www.xx.com/Data/，这应该是访问数据库的页面。我在浏览器中尝试访问后，果然发现了一个名为“#wan#hua. mdb”的数据库，大小约为5MB。更恐怖的是，只要对其点击鼠标左键，就可以将数据下载到本地（如图6）—额的神呀！这不就是传说中的“脱裤”么？

用自己电脑的Access数据库软件打开这个数据库后，我双击打开“users”这个数据表，300多个会员的机密信息一览无余（如图7）。无论是登录账号、MD5加密之后的密码、找回密码时的问题与答案，甚至是真实姓名、电子邮箱和最近一次登录的IP地址等信息，全都尽收眼底。

虽然其中部分内容都是使用MD5进行加密的，但很多密码都很简单，随便用一个MD5破解网站就能直接破译，毫无安全性可言。比如，第一个账号“hxf1919”的密码破解之后竟然是“dddddd”。

我用该账号在网站的首页上进行登录，轻而易举地便进入了个人页面（如图8）！我绝望地发现，这里不但可以查看和修改用户资料，甚至还能查看账户中的余额等信息。

就我这样一个菜鸟，只用了两个小工具，竟然就获得了这个网站的会员资料。要是有动机不纯的黑客获得了这些数据，然后通过社会工程学的方法，还可以入侵我们的其他各个网站的账号，微博账号、QQ账号、网络游戏、网上银行……，想想都有些后怕。

事实上，很多中小网站都是漏洞百出，不但存在注入漏洞，还存在目录浏览漏洞和提权漏洞等。因此，它们被人“脱裤”也是常有的事儿。真想对各位网管们说一声：“网站不但是公司的脸面，还直接关系到用户的个人信息安全，可千万要多加防范！”

同时，我们也可以看出，只要密码足够强壮，通过MD5加密之后还是很难被破解的。各位读者朋友在注册网站账号的时候，也应尽量将自己的密码设置得更加强壮一些，从而避免密码被破译的危险。