动网的论坛，是现在比较流行的论坛，很多的个人主页和一些网站的论坛，都是由它改造而来，更有许多是原封不动拿来就用的，但是，我却在无意中，发现了它存在的一个安全问题。简述如下：
　　
　　先做一些准备工作，动网的论坛程序，几乎遍地都有下载，虽然我们不知道每一个论坛数据库的位置（要是哪个站长没有给数据库改名字，我们可以直接下载，那岂不是赚翻了？），但是现成的数据库里面的字段名字，我们自然可以打开看个饱。准备工作，就是先熟悉熟悉程序，看看数据库里面的字段名字。我们关心的是密码，字段名称为：userpassword。
　　
　　接下来，当然自己要有一个注册ID了，如果管理员没有禁止察看会员的资料，我们任意点一个用户的名字，就会看到他的资料了。这也算漏洞？当然不是这个了，接下来，我们来看看这段代码：
　　
　　对数据库操作的时候，用户的名字是来源于程序dispuser.asp的参数，例如察看用户阿呆的资料应该这样查看：
　　http://*********x/dispuser.asp?name=阿呆，如果用户不存在，程序会给出提示。
　　而在程序dispuser.asp中，读取参数的语句为：
　　username=trim(request("name"))
　　打开数据库查找用户的语句：
　　sql="select * from [User] where username='"&UserName&"'"，
　　由于这个username是直接作为一个数据库的操作条件写在程序中的，所以我们可以在dispuser.asp后面的参数上想办法，例如，在username的后面加上一些其他的资料，比方说:口令。当然了，网站自然是不会直接把这个便利条件给你了，你得自己创造条件，把这个username拆开，在where username=***后面加上and userpassword="****"，（天！这样子猜密码岂不是累死我们？）别急，干这个是需要一些耐心的，显然，知道口令的一些大概情况，对我们猜出口令有很大的帮助，先猜猜口令的位数吧。管理员是不会直接告诉我们的，怎么办？大家看这个地址：http://************xx/dispuser.asp?name=阿呆'%20and%20len(UserPassword)<5%20and%20'1'='1
　　这个地址里面，name的值就是【阿呆'%20and%20len(UserPassword)<5%20and%20'1'='1】了，这么乱？把它代换到程序里面看看:
　　sql="select * from [User] where username='阿呆' and len(UserPassword)<5 and '1'='1'"
　　看出来了么？%20就是空格啦，后面的'1'='1是为了和程序后半拉括号配对的。用户不存在？哦，明白了，原来ID为阿呆而且口令小于5位的用户不存在呀，那就是说大于5位喽，这样子，只要能显示出用户的资料，就说明猜对了，接下来，可以把小于号改成等号，再试试6、7、8位，几次就可以算出密码的位数了。这里，假设我们算出的是8位。可是，这样子还是不知道用户的密码呀？没关系，接着想办法，虽然直接猜8位的口令，困难很大，可是猜只有1位的口令，我们都还是比较专业的，呵呵... 好吧，我们就把这个猜8位口令问题转换成猜1位口令的问题。先猜右边第一位（当然了，你先猜左边的也无所谓。看自己的习惯啦！）：http://************xx/dispuser.asp?name=阿呆'%20and%20right(UserPassword,1)='a，怎么知道猜对了没有呢？和上面一样啦，如果猜错了，程序告诉你：用户不存在。如果猜对了，程序会给你显示阿呆的资料的。这样子很快就可以猜出第一位了，第二位呢？很简单了，可以这样：right(UserPassword,2)，已经有了第1位了，第2、3、4....8位，是不是都很简单了？只要半小时多就可以了。
　　
　　知道阿呆的口令有什么意思，我想获得管理权限呢！这样子，就要先知道管理员是谁了，看看谁的口令最值得攻击。首页上面，有一个管理团队，大家注意到了么？点一下，是不是感觉大家都在向你招手：黑我吧...
　　
　　当然了，阿呆写这个短文的目的，不是为了让大家去破坏，主要是为了让大家提高安全意识。对此，阿呆斗胆提出一些安全建议：
　　1.修改论坛默认数据库的位置，名字。
　　2.使用更新版的论坛程序，动网新的论坛，对口令用MD5进行了加密，已经不像前一版那样简单的就可以得到口令的明文了。
　　3.对dispuser.asp的name参数进行检查，不允许含有除字母、数字、汉字以外的字符。（怎么知道输入的字符串里面的是汉字呢？很简单，在IIS的ASP环境中，汉字的ASC码是负的。可以使用ASC()函数知道字符的ASC码。）或者干脆限制参数name长度不大于15，在dispuser.asp中，加入如下代码：
　　if len(username)>10 then
　　 ErrMsg=Errmsg+"

用户名太长，是不是想做坏事？"
　　 founderr=true
　　end if
　　4.对论坛中，备份数据库的默认目录和默认备份文件名称改掉，在文件admin_BackupData.asp中，改好了以后，别忘了删除原来的备份目录和文件。
　　
　　本文仅供技术交流，请大家不要进行恶意的攻击，否则，一切后果自负。
　　
　　附注：新版的动网论坛已经没有这个隐患了，但是，用旧版本的用户实在太多了。
　　
　　阿呆
　　tpme@ynmail.com