生活,总伴随着无奈(手长一个疮,既然无法医,只能把手砍了)
最近更新时间:2022-08-24 原创
通知:
极速空间访客,您好,本站从2022年8月24日开始,关闭用户注册、登录功能。(查询、在线模拟DIY功能不受影响)
2002年8月22日,站长接到主管部门通知,网站有重大漏洞,要求限期修复。
看到函件,小小极速空间,竟然是“区级重点企业网站”?内心五味杂陈,一分自豪,九分担忧。
再看具体的整改文档,足足有298页,这份文档应该不是手工写作,可能是专业的网安软件检测后自动写的。极速空间网站有192个中危漏洞,风险总评等级为高危。
这192个中危,均指向同一个类型:HTML表单没有CSRF保护。
CSRF全称为跨站请求伪造(Cross-site request forgery)
攻击原理如下:
1、用户小张登录正规网站A,A通过用户的验证并在小张的浏览器中产生Cookie
2、攻击者通过某种方式诱导小张访问非法网站B
3、网站B会利用小张的浏览器访问A
4、网站A接收到用户浏览器的请求,由于浏览器访问时带上用户的Cookie,因此A会正常响应。如此,非法网站B就达到了模拟小张操作的目的。(后果是:攻击者可以利用小张的账户发送邮件,发消息,以及支付、转账等。)
极速空间采用的是ECSHOP系统构建,漏洞看起来虽然只有一个类型,但涉及的内容非常多,所有涉及表单、ajax提交数据的地方都要修改,站长已经将此漏洞提交给ECSHOP现在的版权方S公司,回复说并未开发对应的补丁。
但管理者要求本月26日前就要解决,如何办?
只有一个简单粗暴的办法,就是关闭用户注册登录功能。
这相当于:
工人甲的手长了一个疮,老板看到后,认为有这个疮有危害他人的风险,要求甲限期治疗。甲无钱找医生,自己也没有治疗的办法,只能找把斧头把手砍了。
这事不怪主管部门,我们都应该遵守国家法律。
这也怪不上S公司,任何软件系统都有漏洞。
这只能怪站长自己无能。
现实生活,就这么无奈。
现在意识形态领域抓得很紧,我们这些老百姓真是没什么办法的。
贵站的此事,让我想起了我本地党员每月集中学习资料,打包通过扣扣传送,接连发送了3遍,都被系统屏蔽,发不出去,别人还怪我说怎么说了发的还没有发?真怪!后来没办法,只有将资料拆包后通过VX传出去的。 感觉有些事无疑是搞过了,这样无疑是把简单的事搞麻烦了。
其实大家陪你聊聊天也是蛮好的。。加油,小虫站长,永远支持你
感觉2018年时候的小虫老师是巅峰期。。。。。期待再上巅峰
方案:
1.等待,也许几个月之后“主动”放松监管了,不过可能性太小了。
2.跟朋友吃饭的时候多聊聊,没准碰个人愿意友情价帮你改代码,那也要5千——2万之间,毕竟系统太旧了,维护也麻烦,这个可能性其实也挺小。
站长别灰心,任何人不论好人坏人,只要活着,都会碰到不顺心的事。只是好人碰到的不顺心的事会明显比坏人更多,但好人还是好人,不后悔,所有的事也终都会过去。敬站长这个好人。
唉,其实这种检查根本就是****。安全要求是跟损失价值对应的,你这个网站只是给用户买电脑而已,属于无关紧要的领域,根本就不需要管什么跨站攻击漏洞。这纯属是***为了****层层**,就跟查****最后只找出两个***一样**。
国家最近确实很重视网络安全,我司也被网安组织白帽子攻击了