在瀏覽OpenEIM網站的過程中我通過連接訪問到某個網站，發現這個網站的界面風格與OpenEIM很相似，通過測試，初步判斷應該使用的是一套系統，先注冊個用戶看一下吧，發現可以注冊“零距離”這個id，這個id在OpenEIM是管理員的身份，這時你想到了什么？cookie欺騙。盡管兩個網站在不同的服務器上，可是后臺的代碼應該是一樣的，cookie應該也是通用的，經過測試確實如此，這樣我就擁有了“零距離”在OpenEIM上所有的權限（論壇除外，因為登錄論壇有安全問題）。如圖3所示。
?
接下來可以做的事情就很多了，通過cookie欺騙，可以獲得blog系統“小廢物”、“kiddymeet”等高級別用戶在blog的權限，招聘系統管理員的權限，然后就是找后臺路徑，如果運氣好可以上傳php一句話木馬，獲得服務器的webshell。到了這一步就沒有再測試下去，擔心測試會給網站帶來大的影響，畢竟是OpenEIM的忠實用戶，不能亂搞破壞嘛。

總的來說，OpenEIM的安全性在我測試過的IT類門戶網站中還是不錯的。這次檢測我沒有使用工具對php注入進行測試，只是簡單的手工測試了一下，現在的黑客工具太多捆綁木馬，因為計算機不快，我又懶得在虛擬機測試，所以沒做。

后記：OpenEIM技術人員看到此文后已經在第一時間修補了這些漏洞。我測試出的這些問題的原理其實不復雜，大家按此思路去其他網站找找，也許能找到更多的安全漏洞——不過可別干太壞的事哈。如果是自己做網站的，可以看看自家網站有沒有類似的安全漏洞，及時堵上。這篇文章能與大家見面首先要感謝零距離和小廢物，他們為這篇文章能重見天日付出了不少時間和精力，也要感謝OpenEIM的技術人員能夠及時修補漏洞，更要感謝OpenEIM的各位領導，是他們的開明才使這篇文章得以在OpenEIM發表。

總結

以上是生活随笔為你收集整理的感谢OpenEIM的技术人员能够及时修补漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。