这样的网管,何谈网络安全!
来源:互联网 发布:top域名多少钱 编辑:程序博客网 时间:2024/05/16 14:09
最近公司不怎么忙,同事没事在一起聊天。
有一次突然聊到网络安全,一网管同事大呼:网络何来安全可言。
听完这话,我笑了。
网络固然漏洞,bug多多,但是这些东西我们都可以用技术弥补。
可是作为一个网络管理员的心有漏洞,该如何弥补呢。
记得前两天半夜2点多,不知道怎么,就是睡不着,心血来潮打开公司的官网。
当时也没想别的,就是合计溜达溜达,后来突发奇想,想测试一下公司网站的安全做的怎么样。
结果,令人吃惊的事情发生了。
首先我在官网主页地址后加了个 /login.jsp
结果吃惊的发现,jsp的/404错误页面直接跳出来了。
我想,好歹是个IT公司的官网,怎么错误页面也不处理呢?
看到这个页面,我顿时来精神头了。
就这样的网站,安全方面估计都不用想。
试了大约三分钟左右,找出了网站后台登陆页面。
登陆页面找出来后,让人崩溃的事情发生了。
我使用账号admin密码admin测试登陆。
本来没报什么希望,心想网管在混蛋也不能使用这样的用户名和密码吧。
可是偏偏就直接登陆到了系统后台。
当时心里说不上什么感觉,没有任何一点自豪或高兴的感觉。
要知道,我整个过程没有使用任何工具
说好听点那是社会工程学破解。
说不好听了就是靠蒙的。
我一个两年工作经验的小程序员都能如此轻易的破解这个网站。
如果传说中的黑客来了又会如何呢?
公司有这样的网管。还谈什么安全呢?
这件事之后我想,别的公司是否也存在这个问题呢?
也许真的是太闲了,
想到了前两年szwyadmin程序cookies欺骗拿shell
于是就想,都过这么长时间了,是否还有网管没有修复此漏洞呢?
结果真是不试不知道,世界真奇妙啊。
用谷歌搜索有szwyadmin的站点,搜索结果129条记录
从这129条记录中,抽查了10几个,其中包括的机构有:大学,中学,小学,医院,企业和个人网站等
使用这个cookie欺骗,总共不需要5分钟,就可以把这些站点全部拿下。
想想可笑,平时在网上看到广告说,一日拿千站。
以为是在吹牛,现在看来确实是空穴来风,未必无因啊。。
下面图片是其中一个例子,写这篇文章不是说我技术多强,相反,我这方面只是个菜鸟。
可是就是我这样的一个菜鸟,不到一分钟就可以拿下这个大学的后台。
经过这两个事,我想问问那些成天呼喊网络无安全的网管们,就这样,何谈网络安全?
就这样,还谈什么安全呢?
- 这样的网管,何谈网络安全!
- 何还报这样的错误
- 网管必备的十大网络安全测试工具
- 网管必备的十大网络安全测试工具
- 何解决这样的错误 EXCEPTION_ACCESS_VIOLATION
- 网络安全工程师就是网管吗?
- 网管的经历:我是这样被"踢"成售前工程师的
- 再谈网络安全的自动化
- 谈网管日常工作的基本内容
- 《网管员必读――网络安全》即将新鲜出炉!!
- 《网管员必读――网络安全》即将新鲜出炉!!
- 秒懂!何凯明的深度残差网络PPT是这样的|ICML2016 tutorial
- 秒懂!何凯明的深度残差网络PPT是这样的|ICML2016 tutorial
- 秒懂!何凯明的深度残差网络PPT是这样的|ICML2016 tutorial
- 结构体最后定义一个char p[0];这样的成员有何意义(转)
- 谈计算机网络安全的管控路径
- IT网管的演进
- 一个网管的牢骚
- 【创业感想】从如何让创业公司效率提高3倍说起
- input 输入框获得/失去焦点时隐藏/显示文字
- poj1195 二维树状数组
- 用两个栈实现一个队列——我作为面试官的小结
- HDU1412:{A} + {B}
- 这样的网管,何谈网络安全!
- 4.1
- ubuntu下minicom和USB转串口
- 第三次上机实验报告
- 百钱买百鸡
- jsp页面tyntax error on token "+",++ expected
- Hash Table 的实现
- 剖析我的“博客占位”
- Oracle, Siebel, Interview - Algorithms, other (3)