补充：我们上面的演示是以采用Access数据库的Oblog系统为例，如果站点采用了SQL数据库，那危险性就更大。攻击者通过conn.asp文件获得SQL的连接用户和密码，然后通过类似SQL连接器的工具连接服务器，如果设置不当就可以执行系统命令，服务器即被控制。

　　总结：在上个礼拜OBLOG下载漏洞被发布后不久，OBLOG马上修补了该漏洞。但是将近十天过去了，Internet上存在该漏洞的OBLOG站点还比比皆是，可见不仅仅是普通用户，就连网站的管理人员安全意识也太淡薄了。城门失火殃及池鱼，笔者有如下安全建议：

　　1.站点尽快升级0BLOG系统。

　　2.管理员设置强密码，进可能少地创建管理员。

　　3.做好站点的安全设置，杜绝诸如目录浏览这样的低级错误。

　　3.OBLOG用户在注册时，密码要复制，最好用虚假的QQ、Email的信息。

　　4.用户密码最好各自专用，切忌一个密码蹚网络。

 

上一页  [1] [2] [3]