1.3 對其他一些門戶網站的入侵測試

如果說從新浪青島分站到新浪青島主站，對其進行入侵測試過程中所發現的各種漏洞，僅僅是網絡安全管理人員的疏忽而已，那么下面再看看國內其他一些大型門戶網站是否也有這樣的疏忽。

1.3.1 對搜狐門戶網站的注入攻擊檢測

搜狐網站上的動態網頁大部分是采用 PHP 語言編寫的，通過網站中一個歐萊雅廣告頁面注入點，破解出了論壇數據庫管理員賬號和密碼（圖1-10）。此外還發現在網站中存在著多處注入漏洞，可破解加密的管理員密碼，登錄后臺上傳WebShell控制網站。

圖1-10 破解出管理員賬號與密碼

1.3.2 對TOM門戶網站的注入攻擊檢測

TOM 網也是國內一大門戶網站，在對 TOM 門戶網站進行檢測的過程中，也發現了許多嚴重的SQL注入漏洞，而且危害性非常大，直接導致攻擊者登錄后臺上傳木馬獲得WebShell，并進一步控制整個網站服務器。

通過 TOM 網站博客的注入點，可以猜解出后臺管理員賬號與密碼（圖 1-11）。然后搜索到網站的后臺管理頁面，利用賬號密碼即可成功登錄（圖1-12）。

圖1-11 獲得管理員賬號密碼信息

圖1-12 管理員后臺登錄頁面

此外，在對國內其他門戶網站進行檢測時發現，有許多網站也同樣存在著SQL注入漏洞。例如在網易中存在注入點，可猜解獲取其中包含的管理員賬號數據信息（圖1-13）。和上面的幾個門戶網站一樣，其危害性也是非常大的。

圖1-13 網易注入點猜解示例