测试400个网站
60个存重大漏洞
安云科技介绍,近日,Struts2被曝存在高危漏洞,黑客利用漏洞可以实现远程命令执行。该漏洞引起了业界的广泛关注。
什么是Struts2?“它相当于网站搭建的框架,目前广泛应用于大型互联网企业、政府、金融机构等网站建设,只要是用这种框架搭建的网站都有这个漏洞。在我们监测的400个网站中,就有60个网站不幸中招了。”工程师介绍。
安云科技发现,某地政府的信息网上就存在这个漏洞,技术员利用该漏洞成功获取了网站的最高ROOT权限。“这个权限等于是开发者权限,黑客要是有了这个权限,就能为所欲为,可以更改网站的网页数据,也可以把数据库全都下载下来。”
安云科技还针对高校网站进行了一次安全测试,对243所高校官网进行数据采集,从业务安全、隐私安全、应用安全、主机安全、网络安全等五个维度进行综合打分。其中,80所高校评价为“良好”,103所评价为“一般”,60所评价为“较差”。
“可以直观地理解为,一般和较差的网站都是存在漏洞的,给了黑客可乘之机。”工程师说道。
安云科技还对医疗网站进行过分析,68个网站中,56个评价为“良好”,8个评价为“一般”,4个评价为“较差”。
“在实际的攻击中,黑客在一个网站获取个人密码后,还可以拿密码等个人信息到其他网站中‘撞库’分析,通过多家网站中的信息获取,经过关联、对比后,能将个人信息进行更为详细的还原。”安云科技介绍。
七成信息泄露,来自黑客攻击
近日,360互联网安全中心发布《2016年中国网站安全漏洞形势分析报告》。报告显示,在2016年,360网站安全检测平台共扫描各类网站197.9万个,发现存在漏洞的网站91.7万个,占比为46.3%,比2015年略有下降。虽然漏洞网站数量下降,但高危漏洞数量大幅增长,这说明,极少数网站集中出现大量高危漏洞。网站高危漏洞激增,导致大量信息被泄露。
上游黑客获取信息,下游信息贩子转手买卖,个人信息贩卖已经形成了产业链,类似交易每天都在发生。腾讯公司首席执行官马化腾援引公安部门数据称,当前我国网络非法从业人员已超过150万,黑产市场规模已达到千亿元级别。
山东省信息网络安全协会专家张朝伦介绍,网络信息泄露无外乎两个原因,一是外部攻击,二是内部窃取。“从信息泄露事件的概率来看,外部攻击要占到七成。对外部攻击者来说,其最主要的手段就是寻找并利用信息系统的漏洞。”
“知名的互联网公司技术团队庞大、技术水平较高,在个人信息保护上做得较好。有一些企业网站,因为自身数据管理意识薄弱、数据库安全防范技术水平较差,很容易泄露信息。”张朝伦说。
张朝伦认为,相关监管部门需要尽快规范企业网站的开发安全标准,并加大安全技术人员的培训力度。“国家需要制定一个统一的标准,不达标的网站不能运行,并对照标准进行监测、整改。现在专业的安全开发人员很紧缺,需要加快相关专业的设置和人才培养。”
(齐鲁晚报·齐鲁壹点记者 韩笑)
欢迎广大网民为中国网山东提供新闻线索,积极投稿。中国网山东热线电话:【0531-88556593】 投稿邮箱:zgwsdchina@126.com 中国网山东微博:http://weibo.com/aixinqiye 微信公众号 :sdpdchina
