昨天老同學打電話說濰坊某網(wǎng)絡公司要對他們單位的網(wǎng)站安全性進行測試��,他們不懂�����,讓我?guī)椭麄儨贤ㄒ幌隆?/span>
對方工作人員說是要對網(wǎng)站的安全基本信息了解一下���,說已經(jīng)對我們網(wǎng)站的后臺進行了測試,發(fā)現(xiàn)很多漏洞�,具體如下
1、網(wǎng)站登陸界面在沒有提交數(shù)據(jù)之前對數(shù)據(jù)加密��,造成數(shù)據(jù)明文傳輸��。
2����、網(wǎng)站后臺不登錄也可以操作
3、網(wǎng)站后臺可以上傳程序文件�����,能被黑客掛木馬。
首先簡單說明一下老同學網(wǎng)站的基本情況��,老同學是政府機關單位����,網(wǎng)站主要是對外信息公開宣傳國家法律法規(guī)政策,不涉及到涉密文件問題�。
濰坊這家公司說登陸提交數(shù)據(jù)錢數(shù)據(jù)沒有加密,目前普遍普遍采用的就是這種提交數(shù)據(jù)進行驗證的方式�,在提交數(shù)據(jù)過程中同一個局域網(wǎng)內(nèi)可能會嗅探到用戶名和密碼,請注意條件是同一個局域網(wǎng)���,這期間還要滿足兩個條件�。
1�、網(wǎng)站管理員正在登陸
2、嗅探正在進行����,在單位內(nèi)部需要有一個對這個管理員賬號非常感興趣的人,這個人需要掌握數(shù)據(jù)抓包知識�����,數(shù)據(jù)分析����。
3、局域網(wǎng)被黑客控制����,黑客為達到目的進行嗅探(如果真是這個層次,就不是網(wǎng)站本身的問題了���,是局域網(wǎng)安全的問題和網(wǎng)絡管理問題)
4���、公共IP嗅探抓包……好吧如果你是電信工作人員我承認在你的網(wǎng)關路由器下面你能抓取到,然后篩選數(shù)萬億計數(shù)據(jù)包里面找這個網(wǎng)站的賬號……想想畫面都太美了
關于網(wǎng)站后臺登陸也能操作��,經(jīng)過正常的退出程序或者管理瀏覽器再次打開是不會出現(xiàn)這個情況的�����,這涉及到服務器的session驗證機制問題�����,一般登陸session有效時間是20分鐘��,如果沒有注銷session數(shù)值,服務器默認session是繼續(xù)有效的��,注銷session數(shù)據(jù)的最簡單的方法就是注銷登陸或者關閉使用的瀏覽器�。
第三條說的網(wǎng)站后臺能上傳文件,能被黑客掛馬��,經(jīng)檢查對方使用修改文件名的方式�,修改了兩個記事本文檔為圖片拓展名,上傳數(shù)據(jù)到網(wǎng)站服務器�����,在win2003服務器早期����,是存在一個這樣的漏洞的,IIS服務器對文件名稱和文件內(nèi)容過濾不嚴格���,能夠直接運行圖片格式的木馬程序�����,現(xiàn)在window服務器已經(jīng)不存在這樣的問題��。
兩外IIS服務器可以對單獨的文件夾進行權限設定��,文件夾文件權限分為 無��、執(zhí)行腳本��、執(zhí)行腳本和程序����,所以只要對上傳的文件目錄設定為“無”�,也就是所上傳的文件不能執(zhí)行腳本及程序,就算你能上傳程序文件也不執(zhí)行���。
對方工作人員到老同學單位的目的就是搜集
1�、網(wǎng)站后臺����、網(wǎng)站后臺管理權限
2、還要對網(wǎng)站數(shù)據(jù)庫類型����、數(shù)據(jù)庫
3、搜集網(wǎng)站服務器類型
4��、調(diào)查服務器外圍安全設置�,比如防火墻
(如果真談安全問題�����,以上問題都屬于高級別的保密內(nèi)容)
整個過程我們可以用一個小故事來形容
有人問你要了廣播站的鑰匙����,并且自己復制了一把���,然后某天在你不知道的時候��,拿著他復制的鑰匙到你廣播站里轉一圈����,然后告訴你�����,你這個窗戶沒有安裝紅外線報警器���,你門口沒有安裝指紋掃描�,沒有人臉識別系統(tǒng)�����,對你家的安全造成了如何的安全隱患。
我們的觀點
1�、安全是有使用等級的,你不能讓普通企業(yè)網(wǎng)站使用銀行安全通信級別����,不僅僅造成極大的資源浪費。如果以安全的名義進行恐嚇式營銷是不道德的�����,甚至的違反法律底線的��。
2���、網(wǎng)絡安全我們同樣重視、合法授權是我們共同的追求��。
3�����、企業(yè)應該關注信息安全知識���,盡量對數(shù)據(jù)進行業(yè)務隔離���,比如宣傳網(wǎng)站或門戶網(wǎng)站要與公司網(wǎng)絡隔離���,防止交叉泄密。
我們希望有專業(yè)精神的企業(yè)一起探討信息安全問題��,請不要以安全的名義恐嚇綁架用戶��。
