对某高级技工学校网站的安全检测和加固

虽然今年金融危机给人们带来了“酷冬”，我国经济收到明显影响，到处都在传某某公司准备裁多少人！感觉这个冬天特别冷，在写这篇文章的时候，俺仍然感觉很冷，加入安天365这个团队，让俺感觉很温暖，在这个物欲横流，唯利是图的时候还有人对技术如此执著，对网络安全技术进行系统研究，那是何等的一种精神，我很欣赏团队中的一句话：技术需要沉淀，学习是一个渐进的过程，时间长了，即使是一块顽石，我也能把它滴穿！

今天发现的是一所技工学校，先对其进行安全检测，然后对其出现漏洞的地方进行了防范，下面将漏洞挖掘、分析和修补过程写出来跟大家分享。

（一）漏洞挖掘

1.获取初步信息

某天simeon在群里发了一个IP地址，让众兄弟们看看看看网站安全性如何，说是有奖励。（某人偷笑ing：有奖励好啊！俺就好这口）。首先打开网站看看网站能否访问，一看原来是个高级技工学校的网站，如图1所示，这几天搞学校的网站搞出毛病了，一看到学校网站就两眼放光，因为学校网站院系众多，而且网站更新比较缓慢，一套程序可能用上几百年也不一定换，所以漏洞自然也少不了，因此总的来说搞学校网站还是相对容易的。

图1 查看网站基本情况

说明：

由于发来的是一个IP地址，因此需要先看看该地址时候在默认80端口开放了Web服务，然后看看是使用什么语言，当然也可以直接将地址放入SQL注入扫描工具中进行SQL注入点检测。

2.查看端口开放情况

使用“sfind –p 222.134.217.206”命令查看该服务器端口开放情况，如图2所示，计算机开放了21、80以及4899端口，看到这里，嘿嘿，俺觉得该服务器的安全应该不是太高，可以拿到权限。