從以上記錄中，可以看出網站上存在一個/admin/yhglqwe.asp的腳本文件，因為訪問記錄上的返回值200，表示訪問成功。  隨后測試人員嘗試直接通過http://www.xxxx.gov.cn/admin/yhglqwe.asp直接從互聯網訪問此腳本,意外的發現訪問成功，并且打開了測試網站系統的用戶管理頁面，測試表明已經可以對用戶進行操作。  幸好我們只是測試人員，不是一名攻擊者，否則系統上會多幾個后門賬戶了。 總結問題的原因：網站對腳本的調用沒有進行限制，正常情況下應該登錄驗證后才能調用此腳本，而腳本并無此驗證功能，只有調用到就可以操作用戶。開發人員通過給腳本起一個無規律的名稱，因為攻擊者不知道文件的名稱，無法調用而保證安全。但是，日志系統把這一秘密給暴露了。  問題的解決：最終在防火墻上設置策略，只允許來自首都之窗的日志采集服務器的IP地址對日志進行訪問（當時考慮到還可以采用FTP，采集日志需進行驗證，由于首都之窗的采集日志程序已經開發確定為從Web下載，無法修改，因此放棄）。  案例給我們的啟示：在信息安全中，我們無法保障我們的系統會存在什么樣的問題，但是，我們應該保證我們的系統盡量減少信息的泄露，也許就是這簡單的工作， 就能保障你的系統免受一次可能的攻擊。如果沒有這個日志開發的要求，我相信被測試網站的這個漏洞也很難被發現，因為我們無法知道這個調用用戶管理功能的腳 本德名稱。  為了你的信息系統安全，請記住“信息展示最小化”原則。