对某软件公司的一次安全检测

目前很多公司、企事业单位都拥有自己的网站或者信息系统，这些信息系统有的是经过严格的安全测试，有的根本就不知道什么是安全测试。从2008年中国软件安全峰会冷虹女士所做的“软件只有安全了才是完整的”演讲中，了解到目前一些大公司开始软件设计时就开始考虑安全，即推出软件设计安全；而国内的一些公司是在出现问题后才开始考虑安全，随着信息安全意识到不断提高，一些公司也越来越重视安全问题，试想一个不安全的软件产品，谁敢用！本文某一个软件产品所在的服务器进行了安全检测，一个细节就决定了一个系统的渗透成功。渗透成功后..

一、安全检查原因

朋友需要购买一套学校OA系统，通过网络进行产品的查询，后面找到一家专门提供这种系统的公司，找到后把该公司的地址发给我，让我们给看看，评价一下系统如何，如果可以就打算定制一套。

在浏览器中打开网站地址“http://www.i****.net/products/case.asp”，如图1所示，从该公司产品中可以看到有许多网站类产品。

图1 查看公司软件产品

二、完全正式检测

1.信息收集

本次渗透换了一个查询域名等信息的网站http://www.ip866.com，在“IP/域名”中输入公司的域名地址“i****.net”，然后单击“查询详情”按钮查看该域名的有关情况，如图2所示，获取了该公司官方网站IP地址为“218.16.*.*”。