当前位置是:汇盛国际 > 成功案例 > 成功案例

"白帽子"实测:两所省属重点高中官网"一攻

来源:959fjp.com 发布时间:2019-01-21 点击量:

  无锡调查公司是

  谁泄露了徐玉玉们的个人信息?教育机构网站系统安全堪忧

  ■IT时报记者 章蔚玮

  谁是“杀死”徐玉玉的“凶手”?

  18岁的生命代价换来了全国上下对信息诈骗的关注热潮,但当大家庆幸于参与诈骗的几名犯罪嫌疑人很快落网的时候,却很少有人追究,究竟是谁泄露了徐玉玉的信息,诈骗分子精准的信息从何而来?显然,当地教育机构难辞其咎。

  徐玉玉并非孤例。8月底以来,大学生和准大学生被网络通信诈骗成了高频事件,多起类似案件导致受害人猝死事件被曝光,这些悲剧是否能唤醒信息泄露源头对自身信息安全缺陷的反省和弥补呢?

  在两周的时间里,《IT时报》记者与数十个白帽子进行了沟通,并随机选择了北京和山东两所高中的官方网站,请专业的安全人士进行评测,结果并不乐观,其中一所高中的官网被检测出已经发生过信息泄露,而另一所高中的官网甚至已经被挂上了黑链。

  更令人揪心的是,业内知名的“白帽子”网站乌云暂停服务之后,“白帽子”的身份变得十分尴尬,在漏洞面前开始选择沉默。当黑客成为网络安全领域的唯一玩家时,谁来保护我们的信息安全?

  两所高中官网安全实测:都已被攻击过

  徐玉玉事件中,女孩被骗的关键因素之一,是对方声称将为她发放助学金,这句话轻易获取了徐玉玉的信赖,此前一天,她刚好收到了关于助学金的相关通知。个人信息的泄露直接导致了最终诈骗的成功。

  助学金的信息应该来自教育机构,而教育机构信息安全防范水平低在业内并不是秘密。

  一位今年刚毕业的“白帽子”休明(化名)告诉记者,学校网站的安全防御一直都很弱,出现徐玉玉这样的事件,他一点都不觉得意外。3年前,休明因为好奇和好玩,“潜”入了自己就读的学校系统,他发现,要逃过学校的安全防控体系轻而易举,“我最快的纪录是3分钟潜入系统,有些安全防控几乎形同虚设,教务信息、学生学籍信息全都赤裸裸地摆在那里,想要修改自己的学习成绩是分分钟的事。”

  随着悲剧不断曝光,这些曾经的薄弱环节是否加强了对信息安全的保护?记者随机选择了两所国内重点高中,邀请了两位安全领域专业人士进行简单的安全测试。

  首先测试的是北京某附中,根据其官方介绍,这是一所北京市示范性高级中学、教育部直属重点学校、北京市首批示范高中,在其官网首页有一个名为“数字校园”的登录入口,需要提供用户名和密码才能登录。然而,检测刚刚开始2分钟,安全人员便告诉《IT时报》记者,这个网站的系统没有设置防火墙,黑客很容易进入。

  在经过专业软件2个小时的测试后,检测的“白帽子”得到一个初步结论:目前来看,网站本身不存在漏洞,但存在信息泄露。从检测的数据看,网站上有两个压缩包已经泄露,同时泄露的还有主机源代码。这在安全人士看来,已经属于较为严重的信息泄露,黑客拿到源代码后可以更方便寻找漏洞,从而进一步获取相关有价值的信息数据。

  出于职业规范考量,检测的“白帽子”并没有打开已经泄露的压缩包及主机源代码。因此,压缩包内究竟包含怎样的信息,暂不得而知。

  第二所被测试的学校来自徐玉玉的老家——山东某实验中学,同样是山东省内屈指可数的重点高中。从其官网公开信息来看,学生可在网站上实现网上选课,教师也可通过账户和密码进入网上办公系统。因此,学生的选课信息、考试成绩等等相关的个人信息应该都在网站后台数据库内保留。那么这所学校的官网安全情况如何呢?

  检测开始1分钟后,“白帽子”告诉记者,这家网站已经被黑。根据检测结果来看,网站使用的是iwms系统,这一类系统通常是从第三方购入的现成网站结构,即买即用,技术难度低,价格不算昂贵,普遍受到教育机构等官方机构的欢迎,但也容易忽视后期的安全维护,如果一家网站被攻破,采用类似结构的其他同类网站很有可能都成为黑客攻击的对象。

  上一篇:iphone创新到尽头外部环境和经营上遇新难题

  从安全检测报告来看,这家网站的漏洞很多,最关键的是,网站已经被人挂上了黑链,打开官网地址下的一个二级域名,页面显示为诸多赌博网站网址的集成网页。在检测的“白帽子”看来,说明网站已经被别有用心的人“看中”,处于信息泄露的高危状态,一旦挂上黑链之后,黑客可以直接借助这个网站来进行导流。

小编:按七 http://www.959fjp.com 整理文章,欢迎大家转载!



上一篇:“我的清华四年比高中还拼命!”写给距高考还

下一篇:没有了



版权所有 汇盛国际 2017~2018 禁止镜像

网站地图 | RSS订阅 |