今天在Discuz開發(fā)者QQ群中，看到一些開發(fā)者良心不安，至于原因，就是他們把以前的客戶的網(wǎng)站授權(quán)給屏蔽了，理由是客戶傳播了他們自己的商業(yè)版作品。而客戶當時發(fā)毒誓沒有傳播，后來當他自己看到一些社工網(wǎng)站上發(fā)布的攻擊Discuz論壇的詳細過程的時候，他發(fā)現(xiàn)自己也曾存在這樣的問題。

其實在軟件工程里，沒有絕對完美的系統(tǒng)。而在網(wǎng)站程序或者系統(tǒng)同樣如此，就哪怕是Wordpress及Discuz這樣被大量使用的開源程序依然存在各種問題，更何況是我們自己寫的一些程序。比如在烏云漏洞平臺搜索關(guān)于Discuz的漏洞就有幾百條結(jié)果。

當然上述的漏洞基本上是一些程序上面的漏洞，這樣的漏洞的修復(fù)和發(fā)現(xiàn)都需要有一定的編程基礎(chǔ)，當然這樣的漏洞你想利用也需要一定的基礎(chǔ)；因此這樣的問題對于普通網(wǎng)站管理員來說似乎有點太遠了。

但是有很多并不是太遠的東西，普通網(wǎng)站管理員也可以做到的一些事情；而且這樣的東西不完善就很容易被不速之客利用，哪怕對方是一個不懂編程的小白。比如上面說的開發(fā)者遇到的問題，并不是因為Discuz的自身漏洞被利用了，而是他的作品給了一個演示站，然后直接開放了最高管理員帳號給客戶登錄這個演示站做測試（為了讓客戶完全體驗真實管理網(wǎng)站操作）。而Discuz后來可以備份數(shù)據(jù)和執(zhí)行SQL，有了這些條件哪怕是一個不懂編程的小白也進行相應(yīng)的操作拿到這個網(wǎng)站中的作品。

而今天我要提醒大家的跟這個類似，其實也就一個習(xí)慣的問題。很多網(wǎng)站管理員都有備份的習(xí)慣，很多時候我們都是把文件打包，習(xí)慣好的可能打包到本地或者備份服務(wù)器或者同一服務(wù)器的其他路徑。而不好的則是直接放在ftp里，甚至當前網(wǎng)站目錄里。比如下面就是（這是我曾經(jīng)服務(wù)過的一個客戶的，當然我們不會進行任何操作，這里只是拿一張圖來說明問題）：

這樣的后果非常嚴重，現(xiàn)在網(wǎng)上就有那種掃備份包的軟件，一旦掃到網(wǎng)站目錄存在壓縮包就可以把這個壓縮包下載下來。然后這個備份里面就包含了數(shù)據(jù)庫鏈接配置（包含數(shù)據(jù)庫ip、端口、數(shù)據(jù)庫名、用戶名、密碼）等，甚至里面就已經(jīng)有了數(shù)據(jù)庫的備份。

而很多時候大家為了自己方便，通常是給對應(yīng)的數(shù)據(jù)庫用戶開放了遠程鏈接的權(quán)限（直接用root作為網(wǎng)站數(shù)據(jù)庫用戶的就更不用說了），而這個時候直接可以用數(shù)據(jù)庫客戶端登錄數(shù)據(jù)庫，進行數(shù)據(jù)庫的任何操作了。就算沒有開放這個權(quán)限。很多服務(wù)器都安裝了web數(shù)據(jù)庫管理軟件（比如mysql的myphpadmin之類的），同樣可以利用軟件掃描到這樣軟件的路徑，再利用備份包里的信息就可以隨意操作數(shù)據(jù)庫了。

因此，我建議大家盡量在備份網(wǎng)站的時候留個心眼，也許一時的方便會造成你長久的不方便。