攻站日记

站点：http://www.xxxxx.com.cn/
攻入时间：2008年4月1日 15：31
站点服务器：IIS 6.0
站点漏洞：后台登陆弱口令；文件上传漏洞；SQL注入漏洞
攻击过程：该站是一家医院网站，主要用作信息发布，仅有的可交互页面供医患交流用。先做最简单的SQL测试，信息显示页news_show.asp防SQL，搜索页面sousuo.asp存在SQL注入点，注入点不太好用，继续尝试其它页面。交互页面采用集成的留言本程序，在留言本的“版主管理”入口，用admin-admin登录成功，由此怀疑站点后台弱口令。恰好首页集成后台登陆，以admin-admin身份成功登陆。进入后台，发现有个批量上传文件功能，上传shell.asp成功。利用shell.asp可以浏览你整个网站。
总结：后台弱口令是致命的漏洞，同时后台程序做的不够安全。
建议：更改后台口令；后台程序更新，对上传文件做检查；限制IIS访问权限；禁止DSO。