关于中学的网站

今天进去看看,改版了,用PowerEasy作为网站程序了,遗憾的是,旧的网站还在。

这里有必要先说明一下为什么“遗憾” 。旧的网站大概是2000年网络泡沫时期的产物吧,ASP做起来的,功能非常好,但是漏洞也非常多——有一天在宿舍无聊了,就用google遍历了一下旧网站,找到了5-6个可以注入的地方,另外还有一个上传任意文件的漏洞(想知道这个漏洞有多汗?后台是不用登陆的!即使不能上传文件,我也可以发表文章,如果我发表一些flg什么的东西,哼哼……)。所以说,旧网站仍然存在的确是一件很遗憾的事情——地址也没有改变,现在,引用《我是一个黑客》里面的话,“我已经有自己的入口了”,你再怎么改版,怎么隐藏旧网站,只要还在那里,就存在安全隐患。删除旧网站?不容易,因为我分析过,旧网站的体系是非常复杂的,除了学校主页之外,还有隐藏的老师的主页、科组的主页、班级的主页,删掉的话恐怕会引起许多麻烦。

看得出来,网管已经努力补了许多漏洞,特别是SQL注入方面的漏洞(很多人说SQL注入是最没有水平的),然而,网管放任普通的老师把自己的网页放到网站上,再开放运行ASP脚本权限,真的是一个错误(当年想,为什么班级网页不能用ASP啊,太过分了,现在想来的确不应该能用,因为这样做太危险了,用ASP可以夺取一台服务器)。而且我对网管修补漏洞的方法颇为不屑:把admin表的名字改复杂,也就是说,如果你能猜到表名(嗯,这个比猜密码难得多),还是可以黑掉,这算什么修补漏洞嘛!

然而,我是不会干黑掉自己母校的服务器这种无耻的事情的,因为那毕竟是我的母校,我身上绝大部分的优秀的质,都是母校给的。旧网站上提供了一些当年免费资源横行时的服务,现在,这些服务是多么的珍贵啊!我还是想利用一下的,感觉就是物欲横流的社会中的一片桃源,尽管这片桃源是脆弱的。

我已经要对三台服务器的安危负责了,而这一台是隐性的责任——我无法阻止它被黑,但我自己不会去黑它。目前我的唯一希望就是google尽快刷新中学网站的索引,而旧网站与新网站没有任何链接,这样,让旧网站隐藏到后方,我还可以偶尔探望一下它。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据