资深黑客揭秘IDC行业内幕
2009年12月29日
没有评论 294 views
资深黑客揭秘IDC行业内幕
本人不才,进入黑界也只10年有余,检测过的站点不下几千,也因为黑客技术,赚了点小钱,够糊口。
现在大多数站长用的虚拟主机,而国内的IDC服务提供商参差不齐,安全性也是差别很多。多数IDC用的都是虚拟主机管理软件,直接安装完设置一下,一个IDC网站,包括整体服务就弄好,所以一切安全性都是软件自动设置。这种软件的好处是显而易见的,方便,不用人工去干预。但是一旦软件本身存在漏洞,服务器上的所有站点全都遭殃,而很多IDC服务商由于服务器众多,为了图方便,即使出现一些漏洞,也不会每台机器去打补丁。
本人曾经检测过的站点所在服务器,主要使用的虚拟主机管理软件主要有这么几个:
-------------------------------------------------------------------------------------------
华众虚拟主机管理系统
国内50%的空间商都用的这个,而hzhost最新版本是6.5,此版本的管理页面存在严重的SQL注入漏洞,可以任意修改虚拟主机后台密码。程序domain/login.asp对用户提交的参数未做有效过滤,导致SQL注射漏洞。
选择域名管理,在域名输入框输入测试的语句。如何判断漏洞是否存在呢?我们输入:sectop' 密码随意输入。爆出数据库为MSSQL的数据库
姓名:Chinadu
近期评论