高校网站成黑客“新乐园”
此前我们报道过高校网站被黑客挂马的个例,然而,此次当我们把检测范围放大后,结果让我们胆战心惊。检测北京大学网站时如此,检测清华大学网站时如此,检测浙江大学网站时亦是如此……临近高考志愿填报,众多的学子正通过高校网站了解自己心仪的学校。不过,当一个又一个的安全问题遇上正寻找机会的黑客,将意味着什么?
当你登录高校网站,早已潜伏的病毒会夹道欢迎你;
当你信任高校网站,你的财物会被种种骗局骗走;
当你等待录取通知,你的录取信息可能已被替换掉……
你还敢信任高校网站吗?
千疮百孔的高校网站
意外往往是故事发生的“引擎”,厄运由此展开;在你拿起这份报纸之前或放下报纸之后,你或许即将登录你心驰神往的高校网站,查看那个未来你将走进的校园的情况,幻想着全新大学校园生活的种种,然而或许你不知道,当你在网络中虚拟畅游数字校园时,一个个陷阱也在高校网站中挖好,黑客在等待你的来临……
安全隐患普遍存在
4月13日,北京大学基础医学院网站被黑客入侵挂马;5月5日,清华大学某研究所网站被黑客入侵并在网页中植入木马;5月30日,首都师范大学研究生网被黑客入侵挂马……
上面是众多被入侵网站中造成影响较大的一些例子,国内互联网之初,各种入侵高校网站的黑客就不计其数,根据安全机构安天实验室的一份高校黑客入侵统计显示,国内121所重点大学和487所普通大学中,86%的高校网站曾因为存在漏洞而遭到黑客入侵。
我们检测后发现,中国高校网站普遍存在各种各样的安全隐患,其中包括了很多声名赫赫的老牌大学。在测试中,我们发现安全漏洞是所有问题中排名第一的(因篇幅有限,本文仅仅举了7个案例),大量的高校网站存在高级或者低级的漏洞。
黑客挖掘出高校网站的漏洞后,就会大肆作恶,严重威胁网络安全(见表)。目前,有数十个高校网站都被黑客挂了马,就连国家互联网中心都对访问高校网站发出了安全警告,可见高校的网络安全状况不容乐观。
案例1:清华大学漏洞原因:关键字未过滤,导致PHP注入
漏洞危害:能用来挂马、控制网站
漏洞状况:已通知修改
威胁指数:★★★★★
学校简介:清华大学的前身是清华学堂,成立于1911年。王国维、梁启超、陈寅恪等曾在该校就职。
漏洞利用:打开清华大学材料科学和工程系学院网页,选择一个新闻页面,在地址后面输入“and 1=1”和“and 1=2”,返回的结果不一样存在PHP注入漏洞。在浏览器中输入http://www.mse.tsinghua.edu.cn/mse/news/detail.php?ID=166/**/order/**/by/**/6。
地址最末尾数字可以修改,当修改到“5”的时候,网站返回正常,因此可以判断字段数为5。然后利用PHP注入检测工具,输入刚才的新闻网址,点击“猜解数据库” 破解出数据库的表名和列名,进一步得到明文的用户名和密码。
再点击“后台扫描”,找到了该学院网站的后台,然后用获取的用户名和密码登录即可(图)。检测完成后我们发现,如果黑客有足够的耐心,完全可以通过技术手段进行提权,然后获取整个服务器的权限,到时候就可以在服务器上大量挂马。
关键字:黑客
