又是一个周末，清晨11点起床。老规矩，先打开电脑再去洗漱神马的。唉，天气热得不行了，估计这会儿出门会立马给红烧的节奏。。。不过，饭还是要吃滴。于是，随便找了条球裤就出门了。幸亏边上的快餐店不远，走了5分钟的样子就到了。叫了碗牛肉拉面，味道还真不错，吃完后精神多了。这家面馆是一家西北人开的，看老板娘头上戴的那个头巾应该是新疆人。

回到宿舍，逛了一圈博客，整改了下程序，突然发觉好久没给博客做个安全体检了。目前，国内能免费提供比较专业的WEB漏洞检测的也就那么几个网站。一个是 360网站安全检测 ，一个是百度站长平台和加速乐一起绑定战车的 安全联盟 。

安全老大360的检测结果老是有点恐吓的意思，比如你在博客贴个代码什么的，如果没贴好给浏览器解析了，那么就会误报为源码泄露。至于这个安全联盟，网上传说一旦你的网站给它列入黑名单之后，那就需要money来解封了。国外像迈克菲、诺顿 只会提供最终的检测结果，不会有具体的检测报告。所以即使检测出为不安全，但是也无法知晓是那种漏洞造成的。

由于用安全联盟检测需要一段时间，所以就打开360网站卫士瞅瞅博客的运行状态咋样了，结果尼玛又是“一大波”攻击来袭……

从图中可以看到攻击类型、IP地址、攻击目标URL等信息。要想找出漏洞肯定要看被攻击的URL，正所谓苍蝇不叮无缝的蛋嘛！看了一下，攻击者首先想到的目标是config文件，不过纳闷了。WP程序的配置文件是wp-config.php，那么这个攻击者为啥老是攻击类似/config.php、/linux/config.php、/j-series/config.php、/life/config.php等根本不存在的页面呢？这不显得很不专业吗？但是再仔细一看攻击者的攻击类型，尼玛，这功夫怎叫一个丰富全面了得！从基本的暴露文件路径，到高级点的SQL注入再到XSS跨站。除了瘫痪网站的CC攻击之外的手段几乎全用到了。顿时心中那捏一把汗，太强悍了吧，而且攻击了500多次，这也需要超强耐心啊……好吧，选了几个不同类型的攻击来看，发现博客的程序不存在相应的漏洞，基本放心了。

那看看在安全联盟检测的结果，图中显示了SCANV、百度安全检测和这个什么安赛科技的评测都为正常。好吧，终于放心了。再看看上面360网站卫士的攻击统计列表，发现都是来自北京、天津的两个IP地址。仿然大悟，估计是刚才用安全联盟检测博客时，模拟尝试攻击被360网站卫士记录下来了。。。

哈哈，又是虚惊一场！不过，偶稀饭这份周末的“惊喜”！