久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

攻擊一個(gè)網(wǎng)站有多難?

4月28日下午，一名網(wǎng)絡(luò)安全專家當(dāng)著《IT時(shí)報(bào)》記者的面，打開某知名醫(yī)療網(wǎng)站，在沒有任何賬號的情況下，僅在用戶名處輸入一串簡單代碼，并在密碼欄隨意鍵入幾個(gè)字母之后，他便以超級管理員的身份進(jìn)入了該醫(yī)療網(wǎng)站的系統(tǒng)后臺。整個(gè)過程甚至不足1分鐘，該醫(yī)療網(wǎng)站內(nèi)所有的醫(yī)生信息、患者姓名、性別、聯(lián)系方式等核心數(shù)據(jù)均暴露在這位技術(shù)專家面前。

為什么這么快?該網(wǎng)絡(luò)安全專家對記者表示，是因?yàn)樗呀?jīng)得知該醫(yī)療網(wǎng)站的漏洞。“如今在互聯(lián)網(wǎng)上，可以隨意下載到檢測網(wǎng)站漏洞的工具，2個(gè)小時(shí)后，便能告訴攻擊者網(wǎng)站有何種漏洞，黑客便可有的放矢地攻擊了。”

更可怕的是，技術(shù)專家告訴《IT時(shí)報(bào)》記者，這個(gè)網(wǎng)站安全級別甚至還要高于近期被補(bǔ)天漏洞響應(yīng)平臺曝光的多省份的社保系統(tǒng)。難道我們的社保系統(tǒng)的網(wǎng)絡(luò)安全性如此不堪!

低級漏洞讓社保系統(tǒng)“不設(shè)防”

這種網(wǎng)站系統(tǒng)漏洞的學(xué)名叫“SQL注入漏洞”。

從2014年5月開始，在補(bǔ)天漏洞響應(yīng)平臺上，涉及居民社保信息泄露的漏洞報(bào)告達(dá)64個(gè)，不僅范圍囊括了浙江、安徽、江蘇、山西等19省份，涉及居民也已經(jīng)達(dá)到了5000萬多。而讓人意外的是，這些高危漏洞很大一部分都是共性的低級漏洞錯(cuò)誤，這次浙江、廣東、湖北5市等地曝出的SQL注入漏洞為最常見的低級漏洞。

王佳煜，上海理想信息產(chǎn)業(yè)公司iSec信息安全服務(wù)中心主任，他告訴記者：“黑客能夠探測到數(shù)據(jù)庫的類型、結(jié)構(gòu)、表格數(shù)目，以及對表格字段進(jìn)行猜解，然后通過構(gòu)造語句，將黑客所需要用的姓名、身份證號、聯(lián)系方式等抽取，拖庫到本地(指通過非法手段獲取網(wǎng)站的數(shù)據(jù)庫)。”

事實(shí)上，社保系統(tǒng)中出現(xiàn)的許多漏洞都很低級。如去年曝出的四川省、石家莊市社保局等系統(tǒng)漏洞，均是由“弱口令”導(dǎo)致的。“111111、123456、888888，這些便于記憶的密碼對社保系統(tǒng)來說安全系數(shù)太低，但是地方管理人員并沒有意識到這是一個(gè)重要的安全問題。”

王佳煜曾經(jīng)進(jìn)行過統(tǒng)計(jì)，常見的網(wǎng)站安全漏洞有12種，除SQL注入和弱口令漏洞外，越權(quán)漏洞、框架漏洞缺陷、業(yè)務(wù)邏輯缺陷等都是常見的安全隱患。

今年1月媒體曝出，個(gè)人可繞過某市人力資源和社會保障局網(wǎng)站密碼驗(yàn)證、查詢他人社保信息，屬于越權(quán)漏洞;蘇州市社?；鸸芾碇行木W(wǎng)站可被拖庫查詢所有社保人員信息則是框架漏洞。

安全性常常被犧牲

之所以社保系統(tǒng)容易大面積出現(xiàn)此類漏洞，王佳煜認(rèn)為：“他們的社保系統(tǒng)通常都交給第三方公司做，而第三方開發(fā)公司重點(diǎn)考慮的是功能而不是安全。前些年，軟件開發(fā)者的安全意識普遍不強(qiáng)，如果功能的實(shí)現(xiàn)和安全性有沖突，常常以犧牲安全性為代價(jià)，保證功能。另外，為了趕工程期，他們并不會對系統(tǒng)進(jìn)行充分的安全測試。”

另外一個(gè)常見情況是，當(dāng)初建立的防火墻、入侵檢測、服務(wù)器安全軟件等傳統(tǒng)的安全防護(hù)措施已經(jīng)不能夠適應(yīng)當(dāng)前的安全需要。如樂山市社會保險(xiǎn)信息查詢中心可拖庫查詢樂山市所有社保人信息的漏洞原因就是框架太老。“目前黑客采用的都是新型網(wǎng)絡(luò)攻擊方式，而傳統(tǒng)的基于網(wǎng)絡(luò)層防護(hù)的安全設(shè)備，很容易被黑客繞過，從而發(fā)起對用戶Web應(yīng)用層服務(wù)和Web內(nèi)容的惡意攻擊”，王佳煜說。

部分社保部門對漏洞視而不見

“之前已經(jīng)提交過一次，仍未修復(fù)，公民的信息真的不值錢嗎?”補(bǔ)天上，一位白帽子(正面的黑客，不會惡意利用網(wǎng)絡(luò)漏洞，而是幫助完善網(wǎng)絡(luò)安全性)發(fā)現(xiàn)自己提交的漏洞至今未被涉及網(wǎng)站——新鄉(xiāng)市社保局修復(fù)，在再次提交漏洞描述的過程中，他如此寫道。

今年4月，在媒體曝光后，雖然多個(gè)省市社保部門進(jìn)行了回復(fù)，但是從補(bǔ)天漏洞響應(yīng)平臺的數(shù)據(jù)來看，近一半以上的漏洞仍然懸而未決，陜西省社保系統(tǒng)泄露全省至少213萬參與農(nóng)村社保人員的信息，可隨意修改社保待遇，停發(fā)社保金，問題發(fā)現(xiàn)3個(gè)多月，至今未能修復(fù);新鄉(xiāng)市社保局網(wǎng)站被入侵，泄露百萬社保信息，白帽子提交多次漏洞，至今仍未修復(fù)。

據(jù)了解，一般漏洞響應(yīng)平臺流程是，白帽子提交漏洞、漏洞確認(rèn)、通報(bào)廠商、廠商確認(rèn)、廠商修復(fù)五個(gè)步驟。但社保部門的漏洞處理一般進(jìn)行到第三步、第四步就停滯不前了。

誰來為“安全”買單

為什么社保部門不積極解決?劉濤(化名)，長期為政府和企業(yè)網(wǎng)站進(jìn)行安全服務(wù)，他判斷，除了安全意識不夠強(qiáng)之外，社保系統(tǒng)代碼“牽一發(fā)而動全身”的屬性也可能是造成社保部門懈怠的原因，“升級網(wǎng)絡(luò)安全系統(tǒng)，就要帶來巨大的工作量，很多部門因此選擇不升級。”

劉濤給出的解決方案是定期維護(hù)。“安全意識強(qiáng)的客戶每個(gè)月都會要求我們進(jìn)行常規(guī)的安全測試甚至是滲透測試(模擬黑客攻擊)。”劉濤表示他們的客戶群中，政府服務(wù)進(jìn)行滲透測試的頻次要低很多，不僅如此，更多的類似社保等掌握大量用戶信息的部門依舊缺乏安全意識。

劉濤坦承，由于業(yè)務(wù)的附加值高，這種維護(hù)的成本水平并不低。這個(gè)行業(yè)人才缺乏，沒有統(tǒng)一收費(fèi)標(biāo)準(zhǔn)，劉濤所在部門的普通安全分析員的收費(fèi)在5000元/天以上，高級安全分析員則要上萬。而正常的一次維護(hù)周期是一個(gè)星期，可見費(fèi)用之高。

另一個(gè)解決方案是為數(shù)據(jù)加密。明朝萬達(dá)總裁王志海告訴《IT時(shí)報(bào)》記者，因?yàn)椴粩鄷行碌穆┒闯霈F(xiàn)，事后的定期漏洞修復(fù)不能從根本解決問題，所以他們業(yè)務(wù)的著力點(diǎn)是在為政府或企業(yè)的數(shù)據(jù)進(jìn)行加密。“這樣一來，即使黑客盜取了數(shù)據(jù)庫，但是因?yàn)榧用埽吹降膶⑹且淮畞y碼。”

明朝萬達(dá)提供給政府或企業(yè)的解決方案是一次性的，不過他們的收費(fèi)水平更高，據(jù)透露他們?yōu)橹袊畴娦胚\(yùn)營商提供的數(shù)據(jù)加密服務(wù)的收費(fèi)高達(dá)200萬元。

該不該花大價(jià)錢為安全買單，仍是擺在政府網(wǎng)站們面前的艱難選擇題。