作者: hirokofan (笠原弘子 命！) 看板: C_Chat 標題: Re: [閒聊] 這間學校的校長… 時間: Sun Jan 27 17:54:51 2013 老實說我看到學校網站用ASP就會擔心一下， 因為很多網站做的漂漂亮亮的但是結構上有很大的問題 基本上我們可以把互動式網站簡單的分成兩個部份，1.程式和檔案 2.資料庫 今天這個CASE有兩種可能，一種是校長原來的圖被換了，一種是資料庫的內容被改了 不過看底下頁腳的Built By: Tokugawa Iemitsu 我猜有人拿到了管理者的帳號密碼然後改掉 要拿到管理者的帳號密碼有很多管道 極端一點可以是找個人色誘管理者讓他吐出來 簡單一點就是管理者把帳號密碼寫在桌面被人抄走 也可能是放假了職員把小孩帶去學校，不用輸入帳號密碼瀏覽器一開就是管理員.... 可是這樣子學校老師會倒楣，所以我們不承認有這種可能（喂喂） 所以要負責的公司扛責任，而這類網站如果結構不對的確可能會讓人很簡單的拿到 前面說到的資料庫實際上也是以檔案形式存在某個位置，可能在另一台主機 而小單位的檔案和資料庫可能就在同一台機器上 有些架站程式用的是ASP+MDB資料庫結構，如果MDB的位置在網路上可直接存取的話 只要把MDB檔案撈回來，軟體一開什麼都看得到，包括帳號密碼 當然正常的情況下密碼一定先經過加密再存入，照理說沒破解應該看不到才對 可是有些架站程式偏偏就是用明碼連破都不用破全部送人 看了之後還會發現一堆人的密碼是12345678.... 不過呢，如果是這樣會有一堆人倒楣，所以我猜接下來的發展是 1.學校在幾點幾分發現網頁遭到置換（非辦公時間因此不是學校的問題）， 已經在幾點幾分將網站還原 （很久已前新竹曾經有某校碰到這種情況，還原到最後cracker丟一個 「你再改也沒用啦」的圖上去） 2.本校防火牆效能不足，已經向某某單位提出增置防火牆的申請 是的，都是防火牆的問題，然後大家都過著幸福快樂的日子.... 啊，現在連不上了XD -- 給忙碌的人用的Vocaloid週記.... 先行版（順利的話週二晚上） http://hirokofan.pixnet.net/blog/category/1820969 完整版（順利的話週六中午） http://hirokofan.pixnet.net/blog/category/1820741 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.39.32.77 ※ 編輯: hirokofan 來自: 114.39.32.77 (01/27 18:05)