近期,陕西招生考试信息网出现“瘫痪”事件,至今很多陕西考生仍无法看到成绩,虽然在华商报连续追 踪报道下,省公安厅网监总队和省通管局也开始介入调查,但招生考试网、西安电信、伟联声讯台等当 事几方仍各执一词,真相扑朔迷离。6月29日,在西安本地互联网人交流平台因特(www.einit.com)网站,又曝出了“陕西招生考试信息网存在重大的低级的技术漏洞”的消息,该事件似乎变得更加复杂。
因特网站的会员基本都属于西安互联网站从业者,在省招生考试信息网出现瘫痪事件后,已经进行过多 次激烈的讨论以及深入的分析。今天上午,在因特群中,西安自考网工作人员发来省招生考试信息网查 分页面的链接,因特群中相关网站安全技术人员立即就指出,省招生考试信息网目前技术上仍存在低级 的漏洞。很快,名为“游侠”的会员很快在其搜狐的博客中将此漏洞披露,并发电邮给省招生考试信息网 管理人员做了提醒。
据因特群网络安全技术人士分析,利用此漏洞,黑客会轻易得到每个考生的考分信息,同时可一次性将 所有考分信息一次性窃取。而号称有四台服务器,其中一台为数据服务器的省招生考试信息网,其技术 力量真让人担心!同时,因特群相关技术人员也指出,此低级漏洞与网站“瘫痪”无任何联系,造成网站“ 瘫痪”的幕后,明显未发现网站这项漏洞进而利用。同时,“游侠”在其博客文章中指出,“瘫痪”事件根据 访问IP很快就可以查的水落石出,而造成此次网站瘫痪技术手段也并不是多么高明,只需很简单的设置 即可,但完成类似设置却需要某种特权。
很明显,造成网站瘫痪的幕后,就是利用考生无法查分,自己转而将考分信息进行兜售,获取高额利润 。而对网站进行某种设置或者攻击,造成网站瘫痪,已经触犯了互联网相关法律,付有刑事责任,希望相关部门能一查到底,揪出幕后黑手!
在发生“瘫痪”事件后,华商网很快就推出相关调查,截至6月29日中午1点,调查显示,仍有大部分考生未取得考分信息,同时,全球访问第一的中文网站百度也建立了“陕西招生考试信息网”版块,在版块的 大量文章中,都是求助如何查分,陕西招生考试信息网此次“瘫痪”对社会的影响, 对考生的影响可见一 斑。因此,因特群有会员呼吁,有关部门及社会力量,先将网站恢复起来,让所有考生能够畅快顺利查 到自己的考分信息!
下面是安全技术人员游侠的BLOG文章(来自因特)
刚冒出了无法登陆,但是声讯台能登陆的问题,没事看这个网站的时候,居然发现网站原来很脆弱。除了前两天出的问题,居然还有如此弱智的漏洞!
内行人都知道吧?居然有这种白痴问题……
事实上,查某个IP属于哪个机构并不是多么难的事情,联系电信部门,一查一个准,现在有这么多看上去堂而皇之的理由,是不是有某些难以启齿的问题?
当然,只是怀疑而已。但是,对于这样的问题,谁都有怀疑的权利对不对?
考生无法查询,但是声讯台可以查询,为什么?傻子也知道在IIS做个简单的限制就可以做到只允许某些IP访问,声讯台查询也没问题,关键是每分钟要3块钱!
再有,现成的DDoS工具构造两个IP,也并非难事……但是这两个IP的来源却很值得人怀疑。
更多的不想说了,这样的安全性,应该好多人可以随便查分、可以随便的查好多人的分……
当然,这个漏洞和IP的事情无关,只是利用过滤不严格的漏洞,随意输入了个符号,构造一个特殊的查询而已。不过――窥一斑而知全豹。IP的事情一定要严查!事情应该不像现在报纸公布的这么简单。
写完上面的,给这个网站的发了个mail,提醒下。不论如何,希望网站在考生查分期间别出问题