不懂ASP也照样挖漏洞 记一次CMS型校友录的安全检测

核心提示：几乎每个公司或团体都会建立自己的网站，但由于各种原因，不懂ASP也照样挖漏洞 记一次CMS型校友录的安全检测，大部分人会使用网上公 布的 一些CMS来构建自己的网 站，但却很少有人会关注自己使用的CMS是否安全，二、在本地进行安全测试 1.搭建测试环境把校友录的源代码复制到IIS的web目录下，打开浏览器浏览http:

几乎每个公司或团体都会建立自己的网站，但由于各种原因，大部分人会使用网上公 布的 一些CMS来构建自己的网 站，但却很少有人会关注自己使用的CMS是否安全。下面存在漏洞的校友录就是一个 很好的例 子，攻破后，校友的个人信息将全部泄露。 一、对某CMS的初步安检

1.初步查看

某日，在安天365群里，同伴发过来一个网址，让我友情检测一下该网站的安全，打开后感觉 人气还 不错，界面也比较简洁 。如图1所示。

CMS型校友录的安全检测" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图1

2.简单的安全测试

打开网站一看原来是个校友录，随便找个带参数的地方，加个单引号，http://www.*********.com/gg.asp?id=100'，返回的 结果如 图2所示。

CMS型校友录的安全检测" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>

图2

很明显，程序做了防注入的处理，看来程序开发者还有点安全意识，做了一些安全措施，不过后来证明，防注 入也 只是检测了GET方法，并 未对POST和COOKIE做检测。正准备测试cookie注入，同伴kiss传了个源代码过来， 有源代码就 好办了，还是在本地测试安全，网上的毕竟是未 经授权的安全检测，多少存在一些风险。

二、在本地进行安全测试

1.搭建测试环境

把校友录的源代码复制到IIS的web目录下，打开浏览器浏览http://192.168.1.5/txl/，结果如图3所示。

CMS型校友录的安全检测" onload="return imgzoom(this,550);" onclick="javascript:window.open(this.src);" style="cursor:pointer;"/>