网管必读：解析默认账号密码带来的危害(3)

　　点恢复数据就得到一个webshell了，如图9：

图 9

　　从这里可以看出，data.asp里没有对恢复数据库功能进行任何的检测，既然检测了备份数据库的功能，为什么不对恢复数据库功能也检测呢？难道就因为黑客们都用备份数据库来黑网站吗？这也正是我郁闷的一点，国内的脚本程序员的素质是一个问题。

　　4． 向惊云学习

　　动网论坛的后台功能真的很强大，不过从上面的文字可以看到，正是由于动网后台功能的强大，才让攻击者有机可趁。笔者无意看到惊云下载系统的后台，限制数据库格式为ASP，备份与恢复功能都限制了为ASP，我们先不去讨论这种做法安全性到底如何，但不实为一种不错的思路值得借签，分别如图10、11：

　　补充一句：笔者不是在这里说动网如何不好或者说惊云如何好，只是就针对后台数据库备份与恢复而言。最后还想说，懂了漏洞形成的原理，才能更好的修补漏洞，动网备份数据库里的检测代码拿到恢复数据库功能里来就可以啦！