去年有报道称,美军收购软件漏洞为网战准备。而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞。
安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性,攻击这些军方公共站点以及职员门户要比进入五角大楼容易得多。
美军网站惊现SQL注入漏洞
漏洞发现者研究者名为MLT,他表示在美军国防合同管理局(DCMA)网站子域中,存在严重漏洞。攻击者可以利用该漏洞泄露国防部(DoD)雇员的个人信息,其中包括姓名、住址等。
尽管MLT并没有对漏洞进行利用,他仍摆出了一些数据作证攻击者能够盗取敏感的个人信息。
“在没有真正利用漏洞前,我无法对此进行确定。但是,从列表的名称和全网的官方警示来看,这些页面是不该存在SQL注入漏洞。”
SQL注入漏洞作为Web中最常见的安全漏洞之一,允许攻击者对通过经恶意SQL语句注入正常网页从数据库中盗取敏感信息。尽管这是个骨灰级漏洞,而Web开发者理应极力避免,仍有不计其数的站点受此漏洞影响,并造成重大数据泄露事故。而此次军方网站竟存在SQL注入这样的漏洞,实在令人唏嘘。
一名安全从业者Jim Manico称:
“攻击者能够利用这个漏洞盗取数据库中的全部数据。这很糟糕。”
而MLT所担忧的还有攻击者可能会利用这个漏洞获取DoD雇员的信息,从而进行攻击,不论是在网络层面还是现实生活中。
“如果一些黑帽子发现了这个漏洞并加以利用,那么他们现在就拥有了一大批DoD雇员的个人信息。从网站首页那些警告的语言,我真心希望他们把网站的安全当作一件严肃的事情来考虑了。”
不止SQL注入,还有其他多个漏洞
据MLT透露这个SQL注入漏洞已于一周前被修复,而最近他又发现了几个其他漏洞。他在周一发布的一篇博客中进行了详细介绍。
其中一个漏洞,通过在浏览器URL栏中输入几行字符串任何人都可以进入美国陆军的一个服务器。MLT还发现了一个登录另一军方网站的明文凭证列表,其中一个密码为“msecretpassword”。
研究者还发现了十几个XSS漏洞,这在网络上也是很常见的。实际上,据Web安全公司WhiteHat安全估计,80%的网站都存在XSS漏洞。
考虑到美军的足迹遍布Web空间,而仍在使用着有些过时的系统,因此受到的威胁远远超过了MLT的发现。
安全研究者Robert Hansen称:
“这些漏洞确实让每个美国人和美国的盟友感到非常紧张。”
原文发布时间为:2016-01-27
本文作者:FreeBuf