|
下文转自某互联网技术论坛,作者属于准黑客之类的人物,分别入侵了纯粹高尔夫和 100高尔夫的网站。 自从上次100golf落马后,一直就没管了,潜心研究我的shopex,说句难听的,ex就是狗屎,TM交了钱没有任何技术服务的,论坛上都没个人晒你,真是浪费钱,代码也不开源,改起来真TM难受的很... 上次试着打了一下OKGOLF,没打下来,绝望了,这次试着打了纯粹的,经过昨天一晚上的思索,今天终于被我打下来了嘿 没什么技术含量,就是跨站,提权,在跨站,获得MYSQL密码然后备份得到shell 评价:纯粹的服务器要比100的安全的多,虽然在权限设置上还有待改进,带在密码机制上,已经非常不错了,至少我试了前面6个管理员的密码,CMD5上都没有破解开来 本次检测没有破坏网站内部结构,只是收集一些资料用,说穿了,就是同行之间的一些机密数据了,也就心知杜明的 至于100GOLF的悲剧,那么多语言你不选,偏偏选个ASP的,让你不上进,不打你打谁恩? |
