网站系统最怕爆0day，因为这是致命的；一个流行的网站系统爆0day，那更是致命的，因为这个致命的0day会导致所有使用该系统的网站轻易将控制交到黑客手中。例如昨天逛黑客网站的时候看到他们爆出的一个捷联网商宝建站系统的0day，该0day很好很强大：

该0day出现在网站：http://www.mysite.com/Utility/UploadFile/FileList.asp，进入该页面（web直接访问），然后直接点上传按钮，在这里，我们可以直接上传改过名字的asp木马，例如，如果你的asp木马的名字叫做1.asp的话，那么将1.asp更名为1.asp;.jpg然后上传，这时就OK了。接着就可以直接访问的你asp木马了，你上传的木马位置为：http://www.mysite.com/UpFile/1.asp;.jpg 。

该系统的漏洞实在是太过严重，其上传页面实在是权限为0，这就导致使用GoogleHacker搞定所有该系统下的网站,例如你直接在搜索引擎中输入关键字：“Powered by  gb/company.asp”或者“Powered by  策划设计：中商互联”，你将找到一大批使用该网站的系统，于是这一大批的网站的控制权也就交到了你的手上。

然后不得不说的是国内程序开发者越来越浮躁，一个系统未经系统性的测试就发布，个人认为这是不负责任的，这将会导致很多企业蒙受损失，不知道这个损失是不是应该有程序的开发商来负责，恩，思考中……