幾乎每個公司或團體都會建立自己的網站，但由于各種原因，大部分人會使用網上 公 布的一些CMS來構建自己的網 站，但卻很少有人會關注自己使用的CMS是否安全。下面存在漏洞的校友錄就是一個 很好的例子，攻破后，校友的個人信息將全部泄露。

一、對某CMS的初步安檢

1.初步查看
某日，在安天365群里，同伴發過來一個網址，讓我友情檢測一下該網站的 安全，打開后感覺 人氣還不錯，界面也比較簡潔 。如圖1所示。

圖1

2.簡單的安全測試
打開網站一看原來是個校友錄，隨便找個帶參數的地方，加個單引 號，http://www.*********.com/gg.asp?id=100'， 返回的 結果如圖2所示。

圖2

很明顯，程序做了防注入的處理，看來程序開發者還有點安全意識，做了一些安全措施，不過后來證明，防注 入也 只是檢測了GET方法，并 未對POST和COOKIE做檢測。正準備測試cookie注入，同伴kiss傳了個源代碼過來， 有源代碼就 好辦了，還是在本地測試安全，網上的畢竟是未 經授權的安全檢測，多少存在一些風險。