從以上記錄中，可以看出網(wǎng)站上存在一個(gè)/admin/yhglqwe.asp的腳本文件，因?yàn)樵L問記錄上的返回值200，表示訪問成功。  隨后測試人員嘗試直接通過http://www.xxxx.gov.cn/admin/yhglqwe.asp直接從互聯(lián)網(wǎng)訪問此腳本,意外的發(fā)現(xiàn)訪問成功，并且打開了測試網(wǎng)站系統(tǒng)的用戶管理頁面，測試表明已經(jīng)可以對(duì)用戶進(jìn)行操作。  幸好我們只是測試人員，不是一名攻擊者，否則系統(tǒng)上會(huì)多幾個(gè)后門賬戶了。 總結(jié)問題的原因：網(wǎng)站對(duì)腳本的調(diào)用沒有進(jìn)行限制，正常情況下應(yīng)該登錄驗(yàn)證后才能調(diào)用此腳本，而腳本并無此驗(yàn)證功能，只有調(diào)用到就可以操作用戶。開發(fā)人員通過給腳本起一個(gè)無規(guī)律的名稱，因?yàn)楣粽卟恢牢募拿Q，無法調(diào)用而保證安全。但是，日志系統(tǒng)把這一秘密給暴露了。  問題的解決：最終在防火墻上設(shè)置策略，只允許來自首都之窗的日志采集服務(wù)器的IP地址對(duì)日志進(jìn)行訪問（當(dāng)時(shí)考慮到還可以采用FTP，采集日志需進(jìn)行驗(yàn)證，由于首都之窗的采集日志程序已經(jīng)開發(fā)確定為從Web下載，無法修改，因此放棄）。  案例給我們的啟示：在信息安全中，我們無法保障我們的系統(tǒng)會(huì)存在什么樣的問題，但是，我們應(yīng)該保證我們的系統(tǒng)盡量減少信息的泄露，也許就是這簡單的工作， 就能保障你的系統(tǒng)免受一次可能的攻擊。如果沒有這個(gè)日志開發(fā)的要求，我相信被測試網(wǎng)站的這個(gè)漏洞也很難被發(fā)現(xiàn)，因?yàn)槲覀儫o法知道這個(gè)調(diào)用用戶管理功能的腳 本德名稱。  為了你的信息系統(tǒng)安全，請(qǐng)記住“信息展示最小化”原則。