请不要以安全的名义对客户进行绑架

对方工作人员说是要对网站的安全基本信息了解一下，说已经对我们网站的后台进行了测试，发现很多漏洞，具体如下

3、网站后台可以上传程序文件，能被黑客挂木马。

潍坊这家公司说登陆提交数据钱数据没有加密，目前普遍普遍采用的就是这种提交数据进行验证的方式，在提交数据过程中同一个局域网内可能会嗅探到用户名和密码，请注意条件是同一个局域网，这期间还要满足两个条件。

3、局域网被黑客控制，黑客为达到目的进行嗅探（如果真是这个层次，就不是网站本身的问题了，是局域网安全的问题和网络管理问题）

4、公共IP嗅探抓包……好吧如果你是电信工作人员我承认在你的网关路由器下面你能抓取到，然后筛选数万亿计数据包里面找这个网站的账号……想想画面都太美了

两外IIS服务器可以对单独的文件夹进行权限设定，文件夹文件权限分为 无、执行脚本、执行脚本和程序，所以只要对上传的文件目录设定为“无”，也就是所上传的文件不能执行脚本及程序，就算你能上传程序文件也不执行。

4、调查服务器外围安全设置，比如防火墙

（如果真谈安全问题，以上问题都属于高级别的保密内容）

整个过程我们可以用一个小故事来形容

 有人问你要了广播站的钥匙，并且自己复制了一把，然后某天在你不知道的时候，拿着他复制的钥匙到你广播站里转一圈，然后告诉你，你这个窗户没有安装红外线报警器，你门口没有安装指纹扫描，没有人脸识别系统，对你家的安全造成了如何的安全隐患。

我们的观点

3、企业应该关注信息安全知识，尽量对数据进行业务隔离，比如宣传网站或门户网站要与公司网络隔离，防止交叉泄密。

我们希望有专业精神的企业一起探讨信息安全问题，请不要以安全的名义恐吓绑架用户。