对某PHP手机网站的一次安全检测

“打造中国互联网坚固安全长城，为中国的网络安全事业而奋斗终生！”

虽然听起来有点假，可还是燃气了一群网络安全爱好者的激情，这群年轻人在一起，每天研究网络安全技术，每天在入侵检测与安全防护之间游走，仿佛耳边一直回荡着“我要让微软的每一款软件都必须经过中国人的安全认证才能够走出来！”这是我们的梦，我相信也是所有中国安全爱好者的梦。

今天安全检测的目标是一个手机网站，网站界面清新，内容全面，好像已经做了很久，一直没出什么问题，安全性应该是不错的，有了艰巨任务，小伙子们自然情绪高涨。

打开网站，是一个网上商城，当然首先是环境探测，也就是我们通常所说的踩点了，极可能详细的了解网站的相关信息。

随便点一些连接，看到程序是用PHP写的，无疑问应该是MYSQL数据库，从界面上看应该是一套整站系统（现在自己开发程序成本太大了），在网址后面加上admin（通常手段猜测），出现了后台管理界面（如图1），出现这个，不是非常安全就是非常不安全。

图1

图2

原来如此，是ECSHOP系统，也及是DISCUZ开发的一个网店系统，还算有点收获。

回到前台页面，看看有没有注入漏洞，因为比较关心这个，好利用危害还比较大，在带有参数的页面上加了一个 “’”来检测下，出现如下提示。（如图3）