今天早上在分析网站外链的时候,偶然发现一个同行的网站后台存在漏洞,这个所谓的漏洞就是这个网站后台模板修改功能的相关文件居然没有设置权限验证,我直接在浏览器中输入这个网站后台的模板管理功能的绝对地址,竟然直接就进入了模板修改功能界面,完全没有登录提示,大家都明白这是一个多么可怕的情况,如果这种情况被黑客利用发现的话就可以随便修改你网站的内容和框架了。
最让人不可思议的是这个网站居然是一个网络公司的网站,网络公司居然出现这种致命的错误,可能是程序员太粗心了吧,希望这个网络公司能够尽快发现并解决,我也通知了他们网站的在线客服人员,但是他们网站的在线客服人员好像并不在意,也没有人联系我,只能祝他们好运了。
其实这样的错误一般程序员都不应该忽略,后台所有功能文件一定要设置权限验证,只要是网站后台管理功能的对应文件都应该设置,有一种最简单的方法就是你写一个验证文件,然后保存成独立文件,比如我们保存成check.asp,然后在写后台的功能文件时,在每一个文件中都调用这个文件就可以了,也有的朋友喜欢把这个文件先在后台配置文件(比如:conn.asp、cofig.asp)中调用,这样也是不错的方法。从今天这个小漏洞我们看以看到,作为一个程序员,缜密的思维是必不可少的,不但要保持高度的逻辑性,而且必须不能遗漏任何一个小的细节,可能一个小小的遗漏就会给网站造成巨大的损失。