通知:极速空间网从2022年8月24日开始,关闭用户注册、登录功能。(查询、在线模拟DIY功能不受影响)
2002年8月22日,站长接到主管部门通知,网站有重大漏洞,要求限期修复。
看到函件,小小极速空间,竟然是“区级重点企业网站”?内心五味杂陈,一分自豪,九分担忧。
再看具体的整改文档,足足有298页,这份文档应该不是手工写作,可能是专业的网安软件检测后自动写的。极速空间网站有192个中危漏洞,风险总评等级为高危。
这192个中危,均指向同一个类型:HTML表单没有CSRF保护。
CSRF全称为跨站请求伪造(Cross-site request forgery)
攻击原理如下:
1、用户小张登录正规网站A,A通过用户的验证并在小张的浏览器中产生Cookie
2、攻击者通过某种方式诱导小张访问非法网站B
3、网站B会利用小张的浏览器访问A
4、网站WA接收到用户浏览器的请求,由于浏览器访问时带上用户的Cookie,因此A会正常响应。如此,非法网站B就达到了模拟小张操作的目的。(后果是:攻击者可以利用小张的账户发送邮件,发消息,以及支付、转账等。)
极速空间采用的是ECSHOP系统构建,漏洞看起来虽然只有一个类型,但涉及的内容非常多,所有涉及表单、ajax提交数据的地方都要修改,站长已经将此漏洞提交给ECSHOP现在的版权方S公司,回复说并未开发对应的补丁。
但管理者要求本月26日前就要解决,如何办?
只有一个简单粗暴的办法,就是关闭用户注册登录功能。
这相当于:
工人甲的手长了一个疮,老板看到后,认为有危害他人的风险,要求甲限期治疗。甲无钱找医生,自己也没有治疗的办法,只能找把斧头把手砍了。
这事不怪主管部门,我们都应该遵守国家法律。
这也怪不上S公司,任何软件系统都有漏洞。
这只能怪站长自己无能。
现实生活,就这么无奈。