误填端口之后

做业余网管员已经有一段时间。也就是作作简单的网页，然后按照网络中心设定的地址，端口，密码，用cuteftp上传。原以为这一切相当安全。因为每个用户有自己的用户名（我还傻乎乎地取了个长长的用户名），端口。更重要的一点是，不同的用户都有自己的密码。保密和安全是必要的，要不然后果难以设想。按我的想法，不光是外人无法知道这些信息，就是同时作网管的人相互之间也很难进入别人的主页目录。要不是自己亲身的经历，我也会相信这里面的安全性是相当可靠的。

有一天，重做系统后，重装cuteftp，当然也要重新设定用户名，端口和密码等信息。设定一次，只要不重装上传软件，这些信息都不用每次重新设。加上自己的主页，Oscar当着3个主页的网管，好久不用，这一大堆东东谁归谁记得不是很清楚。只好等到时候试一试再确定，反正以往都是这样的。迷迷糊糊之间，我输入了端口****(为了那不怎么可靠的安全，还是将真实数字暂时隐去)，应该是的。一按连接按钮，显示出来的目录有点不对劲。怎么这么陌生？竟然还有asp文件。是不是有人改了我的？别人不可能。是网络中心？是因为我们的网页不好，或者好久没有更新了？当时，真没有细想，就退出了。今天又一次重装系统，同样要重装各类常用软件。重新设定网管账户时才又突然想起那天的事情。是不是变化端口，就可以进入别人的目录呢？马上试，由自己的端口往上递增一个数，按连接按钮，cuteftp显示框里的数字串在快速滚动，不一会，出来一个对话框，我利用自己的账号，密码，只是改动一下端口就进入了别单位的主页目录。好像是多么轻而易举的事情。又用自己端口数字递减和递加得出端口再试了几次，终于确认了自己的设想。真是又惊又喜。喜的是自己有了一大发现，惊的是原来进入别人的管理目录如此容易。只要能进入一个目录，就可以对目录下面的文件进行任意操作，这是不是很可怕？Oscar试着进行了一些操作，如删除，修改某些网页，或者往别单位的主页目录下上传自己的文件，均得以成功。当然Oscar只是试一试，并不存恶意。要是碰到有恶意的黑客，这不麻烦了？

这种设防如同学校的防火墙认证，用户名和密码仅仅像一张门票，或者说像一把万能钥匙，谁都可以用。

特作小记，以为后鉴。

□  贺文照 2003/2/11

欢迎浏览、链接 转载要经授权 （C）