昨天老同學(xué)打電話說濰坊某網(wǎng)絡(luò)公司要對(duì)他們單位的網(wǎng)站安全性進(jìn)行測(cè)試��,他們不懂�,讓我?guī)椭麄儨贤ㄒ幌隆?/span>
對(duì)方工作人員說是要對(duì)網(wǎng)站的安全基本信息了解一下���,說已經(jīng)對(duì)我們網(wǎng)站的后臺(tái)進(jìn)行了測(cè)試����,發(fā)現(xiàn)很多漏洞�,具體如下
1、網(wǎng)站登陸界面在沒有提交數(shù)據(jù)之前對(duì)數(shù)據(jù)加密����,造成數(shù)據(jù)明文傳輸。
2���、網(wǎng)站后臺(tái)不登錄也可以操作
3�、網(wǎng)站后臺(tái)可以上傳程序文件,能被黑客掛木馬��。
首先簡單說明一下老同學(xué)網(wǎng)站的基本情況����,老同學(xué)是政府機(jī)關(guān)單位,網(wǎng)站主要是對(duì)外信息公開宣傳國家法律法規(guī)政策��,不涉及到涉密文件問題����。
濰坊這家公司說登陸提交數(shù)據(jù)錢數(shù)據(jù)沒有加密,目前普遍普遍采用的就是這種提交數(shù)據(jù)進(jìn)行驗(yàn)證的方式��,在提交數(shù)據(jù)過程中同一個(gè)局域網(wǎng)內(nèi)可能會(huì)嗅探到用戶名和密碼�,請(qǐng)注意條件是同一個(gè)局域網(wǎng)���,這期間還要滿足兩個(gè)條件����。
1�、網(wǎng)站管理員正在登陸
2、嗅探正在進(jìn)行���,在單位內(nèi)部需要有一個(gè)對(duì)這個(gè)管理員賬號(hào)非常感興趣的人����,這個(gè)人需要掌握數(shù)據(jù)抓包知識(shí),數(shù)據(jù)分析����。
3、局域網(wǎng)被黑客控制����,黑客為達(dá)到目的進(jìn)行嗅探(如果真是這個(gè)層次,就不是網(wǎng)站本身的問題了��,是局域網(wǎng)安全的問題和網(wǎng)絡(luò)管理問題)
4�、公共IP嗅探抓包……好吧如果你是電信工作人員我承認(rèn)在你的網(wǎng)關(guān)路由器下面你能抓取到,然后篩選數(shù)萬億計(jì)數(shù)據(jù)包里面找這個(gè)網(wǎng)站的賬號(hào)……想想畫面都太美了
關(guān)于網(wǎng)站后臺(tái)登陸也能操作����,經(jīng)過正常的退出程序或者管理瀏覽器再次打開是不會(huì)出現(xiàn)這個(gè)情況的,這涉及到服務(wù)器的session驗(yàn)證機(jī)制問題��,一般登陸session有效時(shí)間是20分鐘��,如果沒有注銷session數(shù)值,服務(wù)器默認(rèn)session是繼續(xù)有效的�,注銷session數(shù)據(jù)的最簡單的方法就是注銷登陸或者關(guān)閉使用的瀏覽器。
第三條說的網(wǎng)站后臺(tái)能上傳文件��,能被黑客掛馬�,經(jīng)檢查對(duì)方使用修改文件名的方式,修改了兩個(gè)記事本文檔為圖片拓展名�����,上傳數(shù)據(jù)到網(wǎng)站服務(wù)器�����,在win2003服務(wù)器早期�����,是存在一個(gè)這樣的漏洞的����,IIS服務(wù)器對(duì)文件名稱和文件內(nèi)容過濾不嚴(yán)格�,能夠直接運(yùn)行圖片格式的木馬程序,現(xiàn)在window服務(wù)器已經(jīng)不存在這樣的問題��。
兩外IIS服務(wù)器可以對(duì)單獨(dú)的文件夾進(jìn)行權(quán)限設(shè)定,文件夾文件權(quán)限分為 無�����、執(zhí)行腳本�����、執(zhí)行腳本和程序���,所以只要對(duì)上傳的文件目錄設(shè)定為“無”�����,也就是所上傳的文件不能執(zhí)行腳本及程序����,就算你能上傳程序文件也不執(zhí)行�����。
對(duì)方工作人員到老同學(xué)單位的目的就是搜集
1�、網(wǎng)站后臺(tái)、網(wǎng)站后臺(tái)管理權(quán)限
2��、還要對(duì)網(wǎng)站數(shù)據(jù)庫類型、數(shù)據(jù)庫
3���、搜集網(wǎng)站服務(wù)器類型
4�����、調(diào)查服務(wù)器外圍安全設(shè)置�����,比如防火墻
(如果真談安全問題�,以上問題都屬于高級(jí)別的保密內(nèi)容)
整個(gè)過程我們可以用一個(gè)小故事來形容
有人問你要了廣播站的鑰匙���,并且自己復(fù)制了一把����,然后某天在你不知道的時(shí)候�,拿著他復(fù)制的鑰匙到你廣播站里轉(zhuǎn)一圈,然后告訴你��,你這個(gè)窗戶沒有安裝紅外線報(bào)警器�����,你門口沒有安裝指紋掃描�,沒有人臉識(shí)別系統(tǒng),對(duì)你家的安全造成了如何的安全隱患�。
我們的觀點(diǎn)
1、安全是有使用等級(jí)的����,你不能讓普通企業(yè)網(wǎng)站使用銀行安全通信級(jí)別,不僅僅造成極大的資源浪費(fèi)�。如果以安全的名義進(jìn)行恐嚇式營銷是不道德的,甚至的違反法律底線的���。
2��、網(wǎng)絡(luò)安全我們同樣重視�����、合法授權(quán)是我們共同的追求����。
3��、企業(yè)應(yīng)該關(guān)注信息安全知識(shí)����,盡量對(duì)數(shù)據(jù)進(jìn)行業(yè)務(wù)隔離�����,比如宣傳網(wǎng)站或門戶網(wǎng)站要與公司網(wǎng)絡(luò)隔離�,防止交叉泄密�����。
我們希望有專業(yè)精神的企業(yè)一起探討信息安全問題�,請(qǐng)不要以安全的名義恐嚇綁架用戶。
