首页 > 新闻 > 国内 > 正文
日历查看

吃力不讨好白帽黑客无奈:教育网站信息库漏洞多基本不重视

时间:2016-09-13 00:55 来源:未知  责任编辑:宁夏网 点击:进入论坛 参与评论

网上银行登陆 , 网速加速器免费版 , 网上药房 ,岁的生命代价换来了全国上下对信息诈骗的关注热潮,但当大家庆幸于参与诈骗的几名犯罪嫌疑人很快落网的时候,却很少有人追究,究竟是谁泄露了徐玉玉的信息,诈骗精

网上银行登陆网速加速器免费版网上药房,岁的生命代价换来了全国上下对信息诈骗的关注热潮,但当大家庆幸于参与诈骗的几名犯罪嫌疑人很快落网的时候,却很少有人追究,究竟是谁泄露了徐玉玉的信息,诈骗精准的信息从何而来?显然,当地教育机构难辞其咎。

徐玉玉并非孤例。底以来,大学生和准大学生被网络通信诈骗成了高频事件,多起类似案件导致人猝死事件被,这些悲剧是否能信息泄露源头对自身信息安全缺陷的和弥补呢?

在两周的里,记者与数个白帽子进行了沟通,并随机选择了和山东两所高中的网站,请专业的安全人士进行评测,结果并不乐观,其中所高中的官网被检测出已经发生过信息泄露,而另所高中的官网甚至已经被挂上了黑链。

更令人揪心的是,业内知名的“白帽子”网站暂停服务之后,“白帽子”的身份变得分尴尬,在漏洞面前开始选择沉默。当黑客成为网络安全领域的唯玩家时,谁来我们的信息安全?

两所高中官网安全实测:都已被过

徐玉玉事件中,孩被骗的关键因素之,是对方声称将为她发放助学金,这句话轻易获取了徐玉玉的信赖,此前天,她刚好收到了关于助学金的相关通知。个人信息的泄露直接导致了最终诈骗的成功。

助学金的信息应该来自教育机构,而教育机构信息安全防范水平低在业内并不是秘密。

位今刚的“白帽子”休明(化名)告诉记者,学校网站的安全防御直都很弱,出现徐玉玉这样的事件,他点都不觉得意外。前,休明因为好奇和好玩,“潜”入了自己就读的学校系统,他发现,要逃过学校的安全防控体系轻而易举,“我最快的纪录是分钟潜入系统,有些安全防控几乎形同虚设,教务信息、学生学籍信息全都地摆在那里,想要修改自己的学习成绩是分分钟的事。”

随着悲剧不断,这些曾经的薄弱环节是否加强了对信息安全的?记者随机选择了两所国内重点高中,邀请了两位安全领域专业人士进行简单的安全测试。

首先测试的是某附中,根据其介绍,这是所市示范性高级中学、教育部直属重点学校、市首批示范高中,在其官网首页有个名为“数字校园”的登录入口,需要提供用户名和密码才能登录。然而,检测刚刚开始分钟,安全人员便告诉记者,这个网站的系统没有设置防火墙,黑客很容易进入。

在经过专业软件个小时的测试后,检测的“白帽子”得到个初步结论:目前来看,网站本身不存在漏洞,但存在信息泄露。从检测的数据看,网站上有两个压缩包已经泄露,同时泄露的还有主机源代码。这在安全人士看来,已经属于较为严重的信息泄露,黑客拿到源代码后可以更方便寻找漏洞,从而进步获取相关有价值的信息数据。

出于职业规范考量,检测的“白帽子”并没有打开已经泄露的压缩包及主机源代码。因此,压缩包内究竟包含怎样的信息,暂不得而知。

第所被测试的学校来自徐玉玉的老家——山东某实验中学,同样是内屈指可数的重点高中。从其官网息来看,学生可在网站上实现网上选课,教师也可通过账户和密码进入网上办公系统。因此,学生的选课信息、考试成绩等等相关的个人信息应该都在网站后台数据库内保留。那么这所学校的官网安全情况如何呢?

检测开始分钟后,“白帽子”告诉记者,这家网站已经被黑。根据检测结果来看,网站使用的是iwms系统,这类系统通常是从第方购入的现成网站结构,即买即用,技术难度低,价格不算昂贵,普遍受到教育机构等机构的欢迎,但也容易忽视后期的安全,如果家网站被攻破,采用类似结构的其他同类网站很有可能都成为黑客的对象。

从安全检测报告来看,这家网站的漏洞很多,最关键的是,网站已经被人挂上了黑链,打开官网地址下的个级域名,页面显示为诸多赌网站网址的集成网页。在检测的“白帽子”看来,说明网站已经被的人“看中”,处于信息泄露的高危状态,旦挂上黑链之后,黑客可以直接借助这个网站来进行导流。

为教育机构找漏洞吃力不讨好

在“白帽子”圈内,为教育机构找漏洞是件吃力不讨好的事,漏洞多,且重视程度不高,很多此前的漏洞,最后往往都不了了之。

位“白帽子”告诉记者,过去两里,他自己曾过不下个来自各类学校的安全漏洞,只有所学校最终主动修补了漏洞。前,他曾过新疆某网站存在的高危漏洞,在漏洞描述中他这样写道:旦泄露,将有万考生信息流入黑色产业。但随着高考的结束,相关页面被关,这件事最终没了下文。

他还曾提交了自己就读的福州某高校图书馆系统存在的“SQL注入”高危漏洞:“提交个,让学校重视下,个学校网站的安全,代表个学校信息专业的水平……”但最终,漏洞还是没能得到修复。

这位“白帽子”告诉记者,大部分学校认为后台并没有重要信息,因此对于信息安全的防控始终都不重视,“有些地区的学校会将学生,尤其是考生的信息迁移到类似学信网这样的专业考试网站,顺便就将自身防御责任也同转移了。”

但学信网的安全系数就足够高了吗?此前平台上,也曾出现过学信网信息泄露的漏洞。这位“白帽子”曾经在漏洞段后再次查看,结果发现漏洞依然没有得到修补,份加密版的数据库依然在状态。

“这个加密版的防御系数的确要高于普通学校的安全级别,我当时攻破不了,但这并不代表其他人也无法攻破。”这位“白帽子”认为,这样的数据信息旦被破解,流入黑市后,将有巨大的市场价值以及无法估量的危害。

此前就有曝出,只要在QQ群内搜索“考试数据”,轻易找到各类“出售考试名单”的卖主,根据他们的报价,去参加研究生考试的万考生信息的报价是元,而其覆盖的范围已经涉及“湖南全省”“重庆”“江苏”等省市的万名考生信息。

教育部、发布的《教育行业信息系统安全等级定级工作指南(试行)》、《教育部关于全面推进教育行业信息安全等级工作的通知》两份通知中,对教育行业的最高安全等级为第(级数越高要求越高),但事实上,目前很少有学校能达标。尽管在各级教育机构中,大学官网的安全系数普遍略高于高中及职业学校,至少都拥有“防火墙”,但与防护级别为的银行防护系统相比,中间的差距依然不在个等级。

在业内人士看来,徐玉玉事件发生之前,教育机构、机构等官网直是受的重灾区。除了后续投入和成本较高等因素之外,相关管理者意识的懈怠是主要因素,“是他们对相关技术不了解,不熟悉其背后可能带来的影响,其次就是不舍得在这个看不见的地方投钱。”

记者观察

“白帽子”在

进行调查的过程中,记者有机会接触到数位安全领域的白帽子,他们普遍对于半公益的漏洞查找持谨慎态度。

这种谨慎源自的停摆。作为国内最为知名的漏洞平台,网曾经是多起知名网站漏洞的首发披露地,但今以来,先是有著名“白帽子”袁炜,而后网包括创始人在内的“多名高管被抓”,停摆,接连的事件再次引发了人们对于“白帽子”黑客行为边界的大讨论,也让“白帽子”人人自危。

越来越多的“白帽子”开始向纯商业行为转型。“不了,没钱,说不定还惹麻烦。”位刚进入安全领域不到两的轻“白帽子”坦言,本来向平台漏洞的初衷是遏制黑产蔓延,但现在整个社会的大对于类似的行为都有疑虑,因此行业中的很多人都不再热衷于做类似的半公益性质的漏洞查找。

有业内人士表示,这样的趋势并不利于类似公共机构安全防御能力的提升,“学校、作为公共机构本身就需要社会各方的共同监督及,在他们自身不具备专业安全防御能力情况下,社会防御力量又在撤退,单纯依靠其自身安全技术能力的提升,进度会更缓慢。”

,记者向两所被检测高中的微发私信进行了提醒。

加速会注:本文转自IT之家。

(本文来源:新闻 ) 新闻

【有人参与】 我要挑错

更多相关搜索:

宁夏信息港推荐搜索:

文档【右360x150】4 广告位招租 热线:15919972442
新闻-台式机-手机-GPS-相机-摄像机-相框-数字家庭-家电-CPU-内存-显卡-主板-电源-硬盘-显示器-光驱-键鼠-音箱-网络
Alexa  友情链接 TAG标签 RSS订阅
About Itcn - 公司简介 - 联系方法 - 招聘信息 - 客户服务 - 网站地图
宁夏信息港版权所有
©2009-2011