熊海博客

很早已经开始架设独立个人网站、博客，以前用一些开源的程序，总是遇到过种问题，那时候对程序不是很懂，一直认为是自己不会使用导致各种问题的发生。

直到自己开始开发程序后才对网站攻击有全新的认识，我写的第一个程序，用的最基础的语句，没有作任何安全措施就直接放在公网上，没多久就被注入了数据。

很长一段时间不知道问题出在哪里，利用什么样的原理注入数据，等程序安全工作都作后，一年左右的时间，再次出现了文件被篡改，反复检查，并将语句加了多种过滤，但问题依旧，在偶然的一次服务器上日志发现了问题，原来是编辑器目录被猜到，利用编辑器漏洞上传了文件。

使用开源的程序，风险会更高一些，因为代码都开源了，对于未开源的程序，大多问题出在使用的第三方插件，如编辑器，框架等。

仔细查看日志，发现似乎别人用了什么工具在扫，请求的目录和文件很熟悉，基本上都是最常见的目录如：editer,admin,files...等。

工具在不断的使用常见的编辑器名、常用的命名等来猜测你程序的目录和文件，如果一旦猜中，再找到对应漏洞，上传文件，然后就对你的文件操作自如了。

防范这个问题，要尽量使用自己的命名方式，使用那些别人猜不到的命名。