扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
周末晚上收到某客户一份转发过来的文件-《长沙市开福区互联网信息办公室网络安全风险告知函》,告知函是由长沙市开福区互联网信息办公室,也就是我们俗称的网信办。看到文件标题非常疑惑,因为客户网站几乎没啥交互功能,都是单向提供信息的,应该不可能“犯错误”。
打开文件后发现是被网信办告知的是关于网站存在安全漏洞。而且这个安全漏洞,在很多传统网站上都可能出现。属于网站程序在处理文件错误时会泄露物理路径,属于一个中危漏洞。也就是访问特定url路径会直接在页面把报错信息打印出来,这样文件的物理路径也就暴露了。
这种漏洞不仅仅常见于一些小网站,实际上也存在于一些知名的行业网站,如上截图就是某知名网站错误访问路径报错页面,报错页面的信息就包含了网站程序的文件物理路径。那么暴露这样的路径是不是表示就这样的网站一定会被攻击呢?也不一定,只能说这样的问题会让攻击者的攻击行为成本更低、更快,因此完全也算是安全漏洞。
这样漏洞的修复是比较简单的,只需要在应用程序或者服务器软件(如上面是php),设置屏蔽错误信息输出即可,因此以上漏洞修复都是免费进行的。
但是一些体制内单位,可能需要更高的安全标准,比如政府机构、公立学校等。最近我们也收到一个体制内单位网络安全整改报告,那样的报告对安全方面是特别重视的,基本参照三级等保来做的。比如说用户信息明文提交问题、后台管理登录路径暴露问题。
举例:后台管理登录路径暴露问题
这样的问题严格来讲肯定属于漏洞,甚至属于中高危漏洞。然而在传统观念里,这都不是事儿,因为只要少数大型网站才会避免这样的问题。而互联网网上的大多数网站都存在这样的安全问题,哪怕是一些上规模的网站。
特别一些基于开源程序构建的网站,几乎都会暴露后台登录地址,比如WordPress的/wp-admin、discuz的/admin.php。但对安全要求很高的网站都会避免这些问题,比如美国白宫官网是基于WordPress构建的,但是它访问/wp-admin就会报错,也就是隐藏了真实的后台登录地址页面。
举例: 用户信息明文提交问题
这个问题除了最新的标准产品以及以前安全需求比较高的自研网站,一般都存在。如下是某知名网站用户登录数据提交,就是明文的。
这样明文提交有什么问题呢?就是用户在客户端(浏览器)提交用户名密码会通过网络明文传输到网站服务器,在这个过程中请求的数据包如果被攻击者获取,这样用户的用户名和密码等敏感信息就被攻击者获取,理论上讲肯定是是存在安全问题的。所以现在越来越多的网站开始使用https协议进行客户端与服务端数据传输,其中作用之一也是解决类似这样的问题。
实际上一些较大型网站或者对安全标准要求较高的网站都不会这样直接明文提交与传送,至少是密码部分加密处理的,比如下面是百度主站用户登录信息提交(实际上我输入的登录密码是123456),被加密成一串没有规律的字符。
目前越来越多的体制内单位被要求安全整改,其中最典型的就是上面两个例子这样的安全漏洞。比如湖南省的高校,湖南大学和中南大学主站就已经使用了上述用户信息加密提交和传输的方式,而也有一部分学校并没有,估计后续都会全部跟进整改。
网信办等主管部门提出这样的要求,笔者认为是非常有必要的,对于我们这种坚持定制开发的服务商也是利好的。因为我们做的应用程序都是我们自己开发的(当然可能会使用一些成熟的开发框架之类的),但这些即便存在安全漏洞我们是完全有能力进行修复的。影响最大的或许就是那些使用盗版源代码的单位或者个人,因为即便告知他存在那些web应用层面的安全漏洞他也不知道如何去修复。比如上面举例的两个安全漏洞,对于自研产品来讲修复优化是没有任何技术难度的,当然需要花一点点时间。
最大的利好者,还是千万网民,这样网络上就会减少很多不良信息。比如现在,很多普通用户经常需要访问的网站,结果用户打开进去是一些不堪入目的东西,尴尬的要命。其实这些不良信息并不是网站运营方弄的,而是网站存在严重的安全漏洞被黑产利用进行挂马之类的操作。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流