2．密码设置漏洞
    哈希函数将任意长度的二进制字符串映射为固定长度的小型二进制字符串。加密哈希函数有这样一个属性：在计算上不大可能找到散列为相同的值的两个不同的输入；也就是说，两组数据的哈希值仅在对应的数据也匹配时才会匹配。数据的少量更改会在哈希值中产生不可预知的大量更改。MD5 算法的哈希值大小为 128 位。MD5 类的 ComputeHash 方法将哈希作为 16 字节的数组返回。请注意，某些 MD5 实现会生成 32 字符的十六进制格式哈希。若要与此类实现进行互操作，请将 ComputeHash 方法的返回值格式化为十六进制值。

    一般来说，形如ef0020cf8c5e45b9（77169）的16位或者32位密码就是经过MD5加密的，MD5是一种不可逆的算法，但入侵者为什么能快速的就破解了呢？我分析有两点原因：

    （1）那些所谓的在线破解MD5密码，不过就是用一个庞大的MD5原文密码：加密密码数据库比对而已。数据库中正好包含了77169的反向散列值。
    （2）77169这个密码设置的过于简单，5位数字组成，这还是有可能被大型高性能主机破解的。 
    当然还有很多字典破解的工具，不过密码简单的让人无法置信。要说注入是由于程序员书写不规范造成的，造成系统被突破的最根本原因依然是密码问题。还有很多网站提供MD5密码查询，但都无法对数据库中的“d7f9061ae314ca0a”进行反向解密。

    3．FCKeditor上传漏洞
    现在，许多的 Web 应用程序被设计成可包含用于收集富文本数据的用户界面，因此，它们在外观和使用方面看起来更像桌面应用程序。随着越来越多的网站将其内容交由访问者创建，标准文本框很快变得陈旧过时。

     对于许多 Web 应用方案而言，标准 HTML 文本框无法提供富文本编辑器所能提供的功能或优势。借助 FCKeditor，无论服务器端采用何种技术，均可简便而轻松地嵌入富文本数据收集功能。此网站后来也使用了FCKeditor，入侵者正式从FCKeditor找到了可以上传asa文件类型的漏洞。