转自 Wyulnnhtg's Blog

      此文没什么价值,纯属发牢骚而已！~时间不多的朋友就不要往下看了！

      我不知道其它的运维人员或者是安全人员对上线的web项目是否做安全检测！反正我是没有这个习惯。我拿的只是运维的工资，我我负责的只是服务器的运行维护，和操作系统的安全性保证！如果程序员写的程序每个都要让运维来做安全检测的话，那还要程序员干什么？还要测试工程师干什么？我不知道其它的运维人员有没有遇到这样的新鲜事，现在我来讲一讲我遇到的。

      今天早上一到单位，闲着没事，做了次服务器的例行检查。突然发现一台服务器的管理员帐号被克隆了。靠，不应该啊！硬防静默了所有的端口，外部攻击基本上不可能啊！接下来开始查比较常规的系统漏洞，目录权限和端口等。确定一切都没有问题后，开始把目标转向web应用。四五个应用，还跑了个VM。没办法，查吧！结果发现一个项目，真的是相当傻，相当和谐了！直接输入域名，没问题。当在域名后加上index.aspx。好嘛！直接进后台了，连验证都没有！看了看后台，更吃惊了，有个上传模块，没有验证文件类型，甚至连扩展名都没有验证！我地神呐，这不要了我命吗？
        
      这台服务器是归属于某部门的，由于只有一台，所以db和web没有分离。并且为了内部传输文件方便，还装了serv-u，更不巧的是他们还申请了开放外部ftp端口！思路不用理顺，都很清晰，webshell上去，serv-u提权，反弹木马装上，好了，系统权限拿到！没什么好说的，迅速上报，领导让我直接去找负责这个项目的人说明情况！到程序员那一说，好嘛，人家来了句：没事，那个我知道，我加上就好了。靠，知道你不早加上！故意整我不是？（当然这话没说出来）能忍则忍了！一个小时后，电话告诉我，改好了。我把他们的站点开放，安全起见，又看了一下。结果呢，还是没有登录验证，只是把我提示他的，上传模块加了个验证，直接输入index.aspx进去的，还是没有登录验证，首页的探针依然显示，无奈了！最后找来他们主管，直接把网站停掉，告诉他们，什么时候你们自己测试好了，再来找我！我就是个运维的，没有义务，更没有时间去教你写程序！

      要是你遇到了这样的程序员，你怎么收拾他？