近日一位綽號"Unu"的羅馬尼亞***在自己的博客上披露,他發現英國議會的官方網站上存在SQL注入漏洞,而這些漏洞則暴露了很多機密信息,包括未加密 的登錄證書等。利用這種漏洞,他宣稱只要在瀏覽器中的網頁地址後面加上數據庫指令,就可以從網站後臺服務器上竊取到有關的機密數據。更糟糕的是,當局對該網頁漏洞的防範意識和反應速度都很難令人滿意。
這次事件至少反映出該網站的兩個重大問題,首先是存有SQL注入***漏洞,而且也沒有對機密數據進行加密處理,而是採用明文的方式進行保存;另外,網站帳戶的密碼本身也存在不少漏洞,這些密碼都比較容易被猜測出來。其中一個用戶名爲“fulera”的帳戶,據猜測是Alex Fuller的帳戶,此人目前是英國議會官網的高級網頁製作人員。
不過目前我們還不清楚這次泄密的嚴重程度,這些帳戶和密碼也許已經被棄用了數週乃至數月之久。而我們週二聯繫到的議會官員則表示會對這起事件進行一些調查,然後纔會告知我們有關的調查結果。
不論如何,這起事件的發生無疑反映出英國議會官網的安全防範意識非常薄弱。兩週前,媒體已經報道了有***利用同樣的SQL注入漏洞***美國一些官方網站的消息,而這些事件顯然未引起他們足夠的重視。
更糟糕的是,漏洞被攻破後的48小時內,Unu本人,Softpedia網站以及Register網站已經通過留言,發文以及電話等多種形式對有關方面進行了警告,而該漏洞直到週二晚卻一直沒有得到修補。
中數博陽評論:英帝的政府網站和我天朝也沒啥區別嘛,好容易就被黑了。。。