Subscribe
Previous
Back
Next
從未來週記事件看網站安全
Author: 小光 Date: 2009/07/21 21:27
前幾天我們的馬叔叔弄了個"治國週記"網站,結果18日才一第次公開就被踢爆隔週和隔兩週的都預錄好了,讓總統府顏面無光
好糗!馬「治國週記」首播 被眼尖網友抓包是預錄的
這邊對未來週記本身不予置評,因為我小時後超討厭那種變成作業之一的日記和週記...
不過針對這個事件可以看出,網站的管理者對網站安全性的認知不夠
"千萬不要預期所有來到自己網站上的訪客都會依照自己準備的連結來瀏覽"
以未來週記的例子還說,檔案用日期來命名就是很大的漏洞,造成其他的檔案很容易被猜測出來
例如,我的網頁上準備了090701.htm和090702.htm兩個連結,但是訪客可以擅自把網址改成090703.htm等等,這是管理員必須想到的
另外一個類似的狀況是用序號命名,例如link1,link2...
還有更多延伸的狀況
1.XSS,SQL injection或是IIS的cmd.exe attack...
網址上面看的到query string的可以直接從網址列上竄改內容,更容易成為目標
誰會知道哪天自己家網址後面跟的id=1 被人家改id=100, id=1000或
id='' OR 1=1
或是加上<script>XSS</script>
或是 /../../../../system32/cmd.exe 或是...(以下略
2.open source的網路程式,例如網誌,留言版,聊天室或論壇等的狀況:
例如,比較簡易型的腳本會採用資料直接寫入磁碟的raw log而非資料庫,因為保存的資料會放在web server上面,如果沒有設想到而使用預設的檔名,就有可能造成資料被有心人士存取 (過去我很常使用小型的cgi程式,對付這種很有心得w)
至於大型,比較複雜的web application經常是多個module組成,大部分的檔案是在程式中被include呼叫進來不會被直接執行,但是程式的撰寫者必須要預期會有人直接去執行個別的模組並且加以防止,因為安全性漏洞經常在這邊發生
有人認為,自己的網站又不大,又不是總統府國防部w,哪有人要攻擊?
這是敝網誌的accesslog
這啥?我也不知道,可能有好心人士在幫我測試網頁有沒有Remote file inclusion的漏洞吧...wwww
類似的紀錄幾乎天天都有,而這邊也只不過是個一天小貓幾隻的網站而已
架網站或是web2.0不只是趕流行,對於網路上各種各樣的安全狀況,網站管理者真的預備好了嗎...
好糗!馬「治國週記」首播 被眼尖網友抓包是預錄的
這邊對未來週記本身不予置評,因為我小時後超討厭那種變成作業之一的日記和週記...
不過針對這個事件可以看出,網站的管理者對網站安全性的認知不夠
"千萬不要預期所有來到自己網站上的訪客都會依照自己準備的連結來瀏覽"
以未來週記的例子還說,檔案用日期來命名就是很大的漏洞,造成其他的檔案很容易被猜測出來
例如,我的網頁上準備了090701.htm和090702.htm兩個連結,但是訪客可以擅自把網址改成090703.htm等等,這是管理員必須想到的
另外一個類似的狀況是用序號命名,例如link1,link2...
還有更多延伸的狀況
1.XSS,SQL injection或是IIS的cmd.exe attack...
網址上面看的到query string的可以直接從網址列上竄改內容,更容易成為目標
誰會知道哪天自己家網址後面跟的id=1 被人家改id=100, id=1000或
id='' OR 1=1
或是加上<script>XSS</script>
或是 /../../../../system32/cmd.exe 或是...(以下略
2.open source的網路程式,例如網誌,留言版,聊天室或論壇等的狀況:
例如,比較簡易型的腳本會採用資料直接寫入磁碟的raw log而非資料庫,因為保存的資料會放在web server上面,如果沒有設想到而使用預設的檔名,就有可能造成資料被有心人士存取 (過去我很常使用小型的cgi程式,對付這種很有心得w)
至於大型,比較複雜的web application經常是多個module組成,大部分的檔案是在程式中被include呼叫進來不會被直接執行,但是程式的撰寫者必須要預期會有人直接去執行個別的模組並且加以防止,因為安全性漏洞經常在這邊發生
有人認為,自己的網站又不大,又不是總統府國防部w,哪有人要攻擊?
這是敝網誌的accesslog
這啥?我也不知道,可能有好心人士在幫我測試網頁有沒有Remote file inclusion的漏洞吧...wwww
類似的紀錄幾乎天天都有,而這邊也只不過是個一天小貓幾隻的網站而已
架網站或是web2.0不只是趕流行,對於網路上各種各樣的安全狀況,網站管理者真的預備好了嗎...
Trackback:
Bookmarks
| Share to: |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  |  | |  |  |  |
Entries with Same Tags
Link from
3 Google search: 總統府 網站 安全
2 http://www.bing.com/search?q=%E7%B8%BD%E7%B5%B1%E5...
1 Google search: 馬總統治國週記未來版始末
1 Google search: 治國週記
1 http://home.live.com/
2 http://www.bing.com/search?q=%E7%B8%BD%E7%B5%B1%E5...
1 Google search: 馬總統治國週記未來版始末
1 Google search: 治國週記
1 http://home.live.com/
Write New Comment
Subscribe recent comment
