最近很多互联网公司和企业相继被爆出账号泄密问题。昨天大清早的,我们居然也收到了某“热心”网友爆出的我们某产品的网站的安全漏洞问题。。。
这个漏洞说白了就是最基础的SQL注入问题,网站某页面被SQL注入之后能获得更大的权限。这种问题大多就是在接受Http Get或Post参数之后,直接拼SQL去操作数据库,没有对参数类型或者参数包含的关键字进行判断和过滤。当然我这只是举个例子,我也相信这仅仅只是被暴露出的冰山一角,这么基本的问题都能出现,肯定会有更严重的漏洞存在。虽然这种网站我们都外包出去,但看到这样草草了事的程序代码和做事态度,我还是觉得心寒。不为别的,我只是忠心的希望这些程序员们在交工的同时,也可以提高下自身的专业技能和专业素质。
PS:刚才看到该网站的后台代码,为神马他先把账号的所有信息包括密码查出来,然后再判断密码正确性这样的2次判断方式来处理用户登录?为神马会把密码存到Cookie里面,虽然是加密过的。。以上的种种考虑是基于神马原因呢?我真心Hold不住了