幾乎每個公司或團體都會建立自己的網(wǎng)站，但由于各種原因，大部分人會使用網(wǎng)上 公 布的一些CMS來構(gòu)建自己的網(wǎng) 站，但卻很少有人會關(guān)注自己使用的CMS是否安全。下面存在漏洞的校友錄就是一個 很好的例子，攻破后，校友的個人信息將全部泄露。

一、對某CMS的初步安檢

1.初步查看
某日，在安天365群里，同伴發(fā)過來一個網(wǎng)址，讓我友情檢測一下該網(wǎng)站的 安全，打開后感覺 人氣還不錯，界面也比較簡潔 。如圖1所示。

圖1

2.簡單的安全測試
打開網(wǎng)站一看原來是個校友錄，隨便找個帶參數(shù)的地方，加個單引 號，http://www.*********.com/gg.asp?id=100'， 返回的 結(jié)果如圖2所示。

圖2

很明顯，程序做了防注入的處理，看來程序開發(fā)者還有點安全意識，做了一些安全措施，不過后來證明，防注 入也 只是檢測了GET方法，并 未對POST和COOKIE做檢測。正準備測試cookie注入，同伴kiss傳了個源代碼過來， 有源代碼就 好辦了，還是在本地測試安全，網(wǎng)上的畢竟是未 經(jīng)授權(quán)的安全檢測，多少存在一些風險。