測試400個網站
60個存重大漏洞
安雲科技介紹,近日,Struts2被曝存在高危漏洞,駭客利用漏洞可以實現遠端命令執行。該漏洞引起了業界的廣泛關注。
什麼是Struts2?“它相當於網站搭建的框架,目前廣泛應用於大型網際網路企業、政府、金融機構等網站建設,只要是用這種框架搭建的網站都有這個漏洞。在我們監測的400個網站中,就有60個網站不幸中招了。”工程師介紹。
安雲科技發現,某地政府的資訊網上就存在這個漏洞,技術員利用該漏洞成功獲取了網站的最高ROOT許可權。“這個許可權等於是開發者許可權,駭客要是有了這個許可權,就能為所欲為,可以更改網站的網頁數據,也可以把數據庫全都下載下來。”
安雲科技還針對高校網站進行了一次安全測試,對243所高校官網進行數據採集,從業務安全、隱私安全、應用安全、主機安全、網路安全等五個維度進行綜合打分。其中,80所高校評價為“良好”,103所評價為“一般”,60所評價為“較差”。
“可以直觀地理解為,一般和較差的網站都是存在漏洞的,給了駭客可乘之機。”工程師説道。
安雲科技還對醫療網站進行過分析,68個網站中,56個評價為“良好”,8個評價為“一般”,4個評價為“較差”。
“在實際的攻擊中,駭客在一個網站獲取個人密碼後,還可以拿密碼等個人資訊到其他網站中‘撞庫’分析,通過多家網站中的資訊獲取,經過關聯、對比後,能將個人資訊進行更為詳細的還原。”安雲科技介紹。
七成資訊洩露,來自駭客攻擊
近日,360網際網路安全中心發佈《2016年中國網站安全漏洞形勢分析報告》。報告顯示,在2016年,360網站安全檢測平臺共掃描各類網站197.9萬個,發現存在漏洞的網站91.7萬個,佔比為46.3%,比2015年略有下降。雖然漏洞網站數量下降,但高危漏洞數量大幅增長,這説明,極少數網站集中出現大量高危漏洞。網站高危漏洞激增,導致大量資訊被洩露。
上游駭客獲取資訊,下游資訊販子轉手買賣,個人資訊販賣已經形成了産業鏈,類似交易每天都在發生。騰訊公司首席執行官馬化騰援引公安部門數據稱,當前我國網路非法從業人員已超過150萬,黑産市場規模已達到千億元級別。
山東省資訊網路安全協會專家張朝倫介紹,網路資訊洩露無外乎兩個原因,一是外部攻擊,二是內部竊取。“從資訊洩露事件的概率來看,外部攻擊要佔到七成。對外部攻擊者來説,其最主要的手段就是尋找並利用資訊系統的漏洞。”
“知名的網際網路公司技術團隊龐大、技術水準較高,在個人資訊保護上做得較好。有一些企業網站,因為自身數據管理意識薄弱、數據庫安全防範技術水準較差,很容易洩露資訊。”張朝倫説。
張朝倫認為,相關監管部門需要儘快規範企業網站的開發安全標準,並加大安全技術人員的培訓力度。“國家需要制定一個統一的標準,不達標的網站不能運作,並對照標準進行監測、整改。現在專業的安全開發人員很緊缺,需要加快相關專業的設置和人才培養。”
(齊魯晚報·齊魯壹點記者 韓笑)
歡迎廣大網民為中國網山東提供新聞線索,積極投稿。中國網山東熱線電話:【0531-88556593】 投稿郵箱:zgwsdchina@126.com 中國網山東微網志:http://weibo.com/aixinqiye 微信公眾號 :sdpdchina