现如今,政府网站的建设大部分更重视硬件投入,也采取了一定的防护措施,但是在检测中发现,存在安全漏洞在各级政府网站中仍然普遍存在,尤其是SQL注入、信息泄露、弱密码三大安全漏洞尤其突出。
SQL注入是指黑客利用网页中的用户名、查询条件等输入框,向应用程序插入指令,提交数据库查询代码,从而获取网站后台信息,进而进行攻击或操作的一种方式。信息泄露是指由于网站目录防护不足,导致敏感信息泄露。弱密码是指网站未从技术上对密码强度进行要求,使登录密码容易被破译的情况。
下面,小编就来盘点下2013年惨遭安全攻击的那些政府网站。
重庆市政府某分站sql注入漏洞一枚,网站为jsp+orcale,有42个数据库、大量数据。
湘潭市政府门户网站文件上传getshell,文件上传导致任意代码执行,可以上传任意类型文件,通过上传jsp文件可getshell。
深圳市政府某站文件读取漏洞+信息泄露,可对任意文件遍历/下载,敏感信息泄露,可获取到shadow、数据库连接、web路径等信息。
四川省某市政府网站服务器高危漏洞可导致300+站点沦陷,原因为系统/服务运维配置不当。
广东某市政府后台未授权访问导致管理员等信息泄露,未授权访问/权限绕过,未授权可查看系统日志,并且通过页面链接进入后台管理,查看用户详细信息,其中有好几个超级管理员,通过详细信息社工处密码,就可以得到完整控制权限。
中国黑龙江省尚志市政府网站SQL注入漏洞,在国外网站发现一个新闻,中国.尚志政府网站的数据库被发了出来。
江西省吉安市卫生局网站存在多枚CMS漏洞及旁站风险,江西省吉安市卫生局网站使用了存在漏洞的动易siteweaver6.5CMS,且网站许多敏感目录和敏感文件使用常见的易被猜测的路径,综合这些漏洞可以获取到该网站的webshell。此外与该网站处于同一台服务器的网站中,有20多家吉安市其他政府的门户网站,这些网站存在不同程度的漏洞,且其中一家网站早已经被人放了大马。对于吉安市政府来说,如此多的重要网站面临随时被篡改的风险,无论是从社会影响还是从本身政绩考虑,都应该重视并尽早修复这些漏洞。