白帽子发现美军网站SQL注入漏洞,可获取敏感数据

去年有报道称,美军收购软件漏洞为网战准备。而美军自己的网站和服务器究竟又有多安全?一名独立安全研究者已经发现了美军网站的几个较为严重的安全漏洞。

专注于为中小企业提供网站制作、成都网站设计服务,电脑端+手机端+微信端的三站合一,更高效的管理,为中小企业安仁免费做网站提供优质的服务。我们立足成都,凝聚了一批互联网行业人才,有力地推动了上千多家企业的稳健成长,帮助中小企业通过网站建设实现规模扩充和转变。

安全专家称,这些漏洞说明了美国防部网络安全基础的脆弱性,攻击这些军方公共站点以及职员门户要比进入五角大楼容易得多。

美军网站惊现SQL注入漏洞

漏洞发现者研究者名为MLT,他表示在美军国防合同管理局(DCMA)网站子域中,存在严重漏洞。攻击者可以利用该漏洞泄露国防部(DoD)雇员的个人信息,其中包括姓名、住址等。

尽管MLT并没有对漏洞进行利用,他仍摆出了一些数据作证攻击者能够盗取敏感的个人信息。

“在没有真正利用漏洞前,我无法对此进行确定。但是,从列表的名称和全网的官方警示来看,这些页面是不该存在SQL注入漏洞。”

SQL注入漏洞作为Web中最常见的安全漏洞之一,允许攻击者对通过经恶意SQL语句注入正常网页从数据库中盗取敏感信息。尽管这是个骨灰级漏洞,而Web开发者理应极力避免,仍有不计其数的站点受此漏洞影响,并造成重大数据泄露事故。而此次军方网站竟存在SQL注入这样的漏洞,实在令人唏嘘。

一名安全从业者Jim Manico称:

“攻击者能够利用这个漏洞盗取数据库中的全部数据。这很糟糕。”

而MLT所担忧的还有攻击者可能会利用这个漏洞获取DoD雇员的信息,从而进行攻击,不论是在网络层面还是现实生活中。

“如果一些黑帽子发现了这个漏洞并加以利用,那么他们现在就拥有了一大批DoD雇员的个人信息。从网站首页那些警告的语言,我真心希望他们把网站的安全当作一件严肃的事情来考虑了。”

不止SQL注入,还有其他多个漏洞

据MLT透露这个SQL注入漏洞已于一周前被修复,而最近他又发现了几个其他漏洞。他在周一发布的一篇博客中进行了详细介绍。

其中一个漏洞,通过在浏览器URL栏中输入几行字符串任何人都可以进入美国陆军的一个服务器。MLT还发现了一个登录另一军方网站的明文凭证列表,其中一个密码为“msecretpassword”。

研究者还发现了十几个XSS漏洞,这在网络上也是很常见的。实际上,据Web安全公司WhiteHat安全估计,80%的网站都存在XSS漏洞。

考虑到美军的足迹遍布Web空间,而仍在使用着有些过时的系统,因此受到的威胁远远超过了MLT的发现。

安全研究者Robert Hansen称:

“这些漏洞确实让每个美国人和美国的盟友感到非常紧张。”

网站栏目:白帽子发现美军网站SQL注入漏洞,可获取敏感数据
本文路径:http://www.shufengxianlan.com/qtweb/news22/539222.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联