作为每一个网站管理员，都应该具备基本的网站安全意识和知识，其中，安全意识是很重要的一点。是否具备安全意识，往往不仅是寻找安全的网站程序，还需要去主动地发现网站程序中可能存在的安全漏洞。但是许多网站管理员，将所有安全工作都交给了网站程序，以图一劳永逸--这往往导致了潜伏的入侵攻击威胁。

模拟一个论坛搭建流程

下面，我们将模拟一个普通建站者的建站流程，看看缺乏安全意识的建站者是如何在网站中埋下潜伏的威胁的。

在设置寻找了网站空间或搭建网站服务器之后，建站者开始考虑建站程序，准备搭建一个论坛。建站选择了一款著名的论坛程序--“动网论坛Dvbbs 8.2.0 Access版”。

论坛的安装非常简单，建站者从动网论坛官方网站下载“动网论坛Dvbbs 8.2.0 Access版”源程序后，运行安装程序，指定论坛的安装地址，这里假设路径为“D:Web/DVBBS”，单击安装按钮，即可完成动网论坛的解压安装。

然后建站者会在网站服务程序中设置论坛 Web 服务路径，以使用 Windows 系统自带的 IIS 信息管理工具为例：用鼠标右键单击“默认网站”，选择［属性］命令，打开“属性”对话框，选择“主目录”选项卡。在“本地路径”中浏览指定网站程序的解压路径“D:Web/DVBBS”即可。

最后，建站者会根据安装程序的提示，登陆动网论坛后台管理页面，修改管理员的默认密码，并进行其他论坛功能设置，从而完成论坛的安装。

被入侵者钻了空子

上面的建站过程是完全正确的，搭建成功的论坛功能也能正常执行，而且建站者还修改了管理员登录密码，看起来似乎不再存在什么问题。--大意或者说是缺乏安全意识的建站者，却忽略了一个极为重要的问题，论坛数据库的路径与文件名未进行修改！这便给入侵者留下了入侵攻击的机会。

当攻击者打开此论坛时，他会尝试修改浏览器中的网址。假设论坛的网址为“http://localhost/index.asp”，攻击者会尝试提交链接“http://localhost/data/Dvbbs8.mdb”。

Dvbbs 动网论坛使用默认的数据库是路径位于在论坛目录下的“data/dvbbs8.mdb”文件。如果管理员未更改该数据库文件的路径，只要在 IE 浏览器中访问该文件，就可以下载到论坛数据库。此时在浏览器中会弹出一个下载对话框，询问是否保存为“Dvbbs8.mdb”的文件。

“Dvbbs8.mdb”文件就是“动网论坛 8.2.0 Access版”的默认数据库文件，单击“保存”按钮，攻击者就可以将该动网论坛的用户数据库下载到本地。

入侵者找空子的流程

攻击者是怎样发现网站默认数据库文件并进行下载攻击的呢？对于攻击者来说，在入侵前会收集每一个攻击目标的各种信息。当攻击者面对建站者搭建的论坛时，首先会获取该论坛的各种信息，比如论坛采用的是什么程序、程序的版本等。

(1).收集目标信息

缺乏安全意识的建站者，往往会给攻击者留下很多“提示”信息。例如：在刚才的论坛首页最下方，有一个“Powered By Dvbbs Version 8.2.0” 的论坛版本标识。攻击者通过此标识，就可以很轻易地判断识别出此论坛采用的程序及版本。

如本例中所示缺乏安全意识的建站者比比皆是，在这里，我们可以做一个小实验。

在网络上使用动网论坛的网站非常多，因此可以使用搜索的方式，尝试搜索未修改版本标识的动网论坛。打开搜索引擎百度或 Google，在里面输入搜索关键词“Powered By:Dvbbs Version”进行搜索，即可找到大量使用动网论坛程序的网站。从搜索结果列表中，可以看到，有大量的论坛都是采动了动网论坛程序，但均是修改版权标识，给入侵者留下了很好的提示。

(2) 分析源码

知道了论坛采用的程序及版本，攻击者就会从网上下载相应的网站论坛源程序进行分析。作为最简单的入侵手段，攻击者会查看网站论坛的默认数据库。网站论坛使用的默认数据库路径及文件名在哪儿？

攻击者用记事本打开源程序中的“conn.asp”文件，可以看到有一句这样的源码：

Db = "data/dvbbs8.mdb"

攻击者对源代码略加分析，即可知道，这段代码是用来定义数据库文件路径和文件名的。代码中使用的是相对地址，因此实际的路径应为“D://DVBBS/data/dvbbs8.mdb”。也就是说，如果网址论坛链接地址为“http://www.xxx.com/bbs”的话，那么默认的数据库文件链接地址应为“http://www.xxx.com/bbs/data/dvbbs8.mdb”。

由于在 IE 浏览中访问 .mdb 的数据库文件时，该文件会被自动下载，因此入侵攻击者就会尝试下载网站的默认数据库，以获得网站的重要信息。如果建站者如前所述，未对默认的数据库进行改名或者修改路径的话，就会导致网站论坛的数据库被下载攻击。

同样，在网络上其他公开源代码的网站程序中，攻击者也可以通过类似的方法，查到网站程序的默认数据库文件名和路径，然后进行下载攻击。