近日在网上无意中浏览到一篇标题为:《黑客培训学校,反被黑客黑》的文章,作为一名从事网络安全行业数十年的我,就此发表几点看法。
文章中提到2009年8月17日晚-2009年8月18日早上,武汉地区多家IT培训机构均被黑客侵入,文中特别提到黑客培训学校网盾站点被黑,长时间无法访问。但是文中并没有给出该站点“被黑”的截图。一般情况而言,黑客入侵网站后会留下网站被黑的截图,而单纯的站点打不开,原因很多。而我的第一反应此网站可能遭受到DDOS攻击。
DDOS没有一个有效的防御方法,这是全球范围都面临的难题!当年yahoo网站遭受“泪滴”式攻击,DDOS的雏形开始出现,即使yahoo这样全球知名的门户网站仍然迫不得已关闭yahoo主站。
看过这篇文章以后,我在网上以及从朋友那里了解了一下武汉IT培训市场的情况,据说武汉现在做的比较好的3家培训机构是:网盾,思远,弘博。这篇文章提起了我对这3大培训机构站点安全检测的兴趣。下面我依次对这3家网站进行了安全渗透。
首先是思远:www.thinkbank.com.cn,一根烟的功夫顺利进入该站点,看来安全性确实不怎么样。发现其网站源代码都是采用网上现成程序的修改版,仅仅去掉了一些版权信息而已
并不是自己开发。这里就觉得有些奇怪了,一个培养程序开发人员的培训机构自己用的网站都是网上别人写的源码,真不知道是为什么了。下图为渗透后留下的截图,截图列出了站点的文件以及目录列表,当然修改,删除整个网站都已经不在话下了:
下面这张截图是我修改首页后留下的截图:
建议思远多在程序安全性上下功夫,不要采用网上现成的源代码。同时服务器安全配置也很重要。
接下来是弘博:http://www.interhb.cn ,大体上看了一下,很快发现了一个致命漏洞,很顺利的拿到站点的权限。和思远如出一辙,难道现在培养程序开发的机构只管程序开发,不管程序安全性的?下面是弘博网站的目录结构,同样数据库,删除文件都是可以的了:
下图为修改首页的截图:
建议弘博在培养程序开发人员的同时,不要忽视程序的安全性,一个变量的使用不当,就能导致致命性漏洞
最后是网盾:http://www.netsos.com.cn ,初步一看,程序采用PHP开发,数据库应该是MySQL.,提交一个错误页面发现WEB平台很奇怪,如下图:
好像没见过这套WEB平台,应该是改了Banner值。凭着多年的网络安全经验可能是nginx,而国内采用这套平台的大多是知名门户网站,像新浪,优酷,网易,迅雷等。
尝试了多种渗透手法,2个多小时过去了,没有得到任何有利用价值的信息,因为时间关系我没有继续下去,但是这个网站的整体安全性还是给我留下了深刻的印象,并不像开头那篇文章写的那样“被黑”,建议网盾加大出口带宽。
纵观国内网络安全现状,看来还是印证了:“网络安全是个整体,网络安全以人为本!”这句话。
O.Zake
2009.8.19
|