现在3点了，一般情况下这时候我都在检测别的站；今天却是检测自己的站检测到现在，一个文件一个文件的看，头晕晕的大大的，也许有没防到的地方，以后再说了...

东南大学毕业生就业指导中心站不是我做的第一个站，但却是我最得意的一个站，从前到后一个月不到的业余时间，完成了必须的所有功能，虽然是asp站，但也够好的了，至少功能、安全与效率都强于之前的老站。那段时间每天我废寝忘食，没有钱做诱惑，我却努力的完成了，我只想为学校做点事...

至于玩黑，我也是从玩注入开始学起的，甚至我在学注入前对程序一窍不通。只不过，在高效率的要求下，玩黑的人写出来的站不一定就安全，因为一个站有太多要值得注意的地方，而写站的时候，是为了某个功能而努力，而且时间紧任务重，因此所有的参数传递我都直接request了；但偷懒不代表我不注重安全，id基本都cint了，习惯性动作，最后加了个通用的防注入，虽然我知道只防post与get，不能防cookies...只不过那时候cookies注入还没开始流行，技术只掌握在少数人手里，我跟小马说了说，估计不会有人会想到cookies，我们侥幸了下...

可是写完站就投入使用了，后来大家帮忙发现bug又经常需要对功能做一些变动，但我毕业了，并不是天天在学校里，而学校的服务器出去的端口封的很死，我根本无法远程登陆，于是对于一些小改动，我直接上传webshell上去修改程序（这就是在目录下有我一句话马的原因），大改动的话，我就抽空回学校下，于是那个cookies问题我始终没来得及修复，虽然我知道近来cookies注入很流行，甚至有专门的工具，好像是寂寞的刺猬写的...

昨天小马去了下机房，然后告诉我网站被人搞了，可我没时间去；今早网站上不去了，估计是对方想提权的吧...结果权限搞混了，整个站都上不去了...

致友情检测就业办的'hacker'，感谢你了，实际上你也是蛮累的啊，cookies注入不容易啊...但是也希望你注意，拿个shell就最好收手，学校站没值得你提权的必要，不要吓折腾...如果你能看到我blog的话，如果站点还有问题的话，希望指点下...

如果是为了代码，直接拿走好了；如果为了其他，还请自重了；至少在小马面前，别班门弄斧...

网站大概看了下，也稍微修改了下，不敢保证毫无问题...其实想用Neeao那个通用防注入3.1的，但怕影响网站整站速度，也没写函数对参数进行过滤，以后如果还能侥幸被你搞到webshell，我再想办法吧！

3点半了，睡觉了...网站安全...永恒的话题啊...

ps：
1.今天跟老婆和小马三人一起有幸聆听东南大学学生处朱处长的教诲，受益匪浅啊~~~

2.老婆经常说：你都已经不是东大人了，还整天seu...seu...的...我说：晕，不对...其实校友也算东大人...