一个很可怕的问题,雅虎竟然搜集网站管理帐号用于收集网页。
很奇怪,学校网页上添加的内容多次无缘无故地被删除,起初认为是有人在恶意删除,马上查看日志,找到删除链接,记录数据如下:
2008-09-09 04:36:41 服务器的IP GET /dir1/dir2/content.asp del=92&page=1 80 - 202.160.178.176 Mozilla/5.0+(compatible;+Yahoo!+Slurp+China;+http://misc.yahoo.com.cn/help.html) 200 0 0
因为我是用了别人的后台模板,原来是用get方式提交删除操作的,上面大家应该可以看得出,del=92意思是要删除ID为92的记录。
我马上反应过来了,会不会是这个后台的该页的登录验证有问题,马上在浏览器里输入http://servername/dir1/dir2/content.asp?del=92&page=1,提示需要登录,那就怪了,难道代码有问题?先删除再认证?,打开ASP的代码,没有是正确的,自己又加了一条记录上去,现在退出管理,在浏览器里输入地址,把DEL后的ID改成新的ID,回车,提示需要登录才能操作,回到管理,记录仍然存在。
带着试试看的心情,去了一趟雅虎搜索(不是为这个,还没去过)。用“site:servernaem 删”(因为我的操作页面上就是点击删的)一搜,吓我一跳,后台的页面内容都出来了。点击快照,却不让看。显示如下信息:
对不起, 您要访问的 http://servername/dir1/dir2/content.asp 的快照页面已经不存在
您可以点击 这里 直接访问原页面
页面上显示的最后更新日期是2008-8-25日,离今天10多天,我并没有更新过管理功能。经多次研究,代码上绝对是安全的,至少我能确定雅虎搜索到的页面是需要登录验证的,而且在验证中并没有对雅虎有什么照顾。
那为什么会这样呢,希望有兴趣的朋友可以跟我一起探讨。
为了网站的安全,我暂时更改了正确的网址和IP地址,但信息绝对是真实的。服务器配置是WINDOWS2003SERVER+IIS6+ASP