国内纺织服装行业网站安全状况报告
/**
作者:慈勤强
Email : cqq1978@yeah.net
最后修改:2004-09-26
**/
[目的]:
通过对一些大的纺织服装行业网站进行安全性检测,结果发现情况并不容乐观,许多网站
甚至是有些具有政府背景的网站都存在着严重的安全隐患或漏洞,使得攻击者可以轻易的
进入网站系统内部。 而通常,这些行业网站都是以此为盈利的网站,因此网站的内容直接与
他们的经济利益相挂钩,所以特写此文,希望能够引起他们足够的重视。
[关键词]:
纺织、行业、网站、程序安全、数据库、会员系统、收费信息
[内容]:
前些日子刚从一家专业的纺织服装行业网站辞职,闲于家中半月有余。其间也是闲着无聊,
于是花了几天时间对国内其它的几个有名的纺织网站进行了一次简单的安全检测和模拟攻击。
我所采用的一些攻击技术都是现在网上非常常见和流行的一些技术,结果却是非常令人失望,
几乎有60%以上的被检测站点存在着安全隐患,甚至有些隐患是致命的。
于此同时,在检测到某个网站存在问题的时候,我就按照其网站上留下的联系电话打过去,
想跟他们详细的说一下其中存在的问题,希望他们及时修补,做到防患于未然。然而接电话的
要么是前台、要么是一些非技术的比如客服、行政等部门,一方面她们根本就不了解事情的
严重性,另一方面她们又总是把我当成推销的,总带着一种防卫的心理跟我说话。 所以我无论
如何也找不到他们的网站负责人,就只能跟她们简单的说一下,“贵公司的网站存在严重安全
隐患,请转告网站负责人,及时修补”之类的话了。
下面就以几个网站为例,指出他们存在的问题:
1、中华纺织网(http://www.texinde.com.cn)
中华纺织网可以说是现在最具有活力的网站了,其规模也可以说得上是这个行业的老大吧,自然
他们在安全方面是做得比较好的。然而他们忽视了一个问题,那就是客户资源的保护。众所周知,
同行业网站之间比的就是客户,就看谁挖掘的新客户多,谁从对手那边抢过的客户多。而中华纺织
网作为最大的网站,可以说是每天有相当多的用户来访问他们的网站,而这部分用户绝大多数
是这个行业的。而论坛则成了来访者相互交流的平台,所以论坛的用户资料对于这个行业来说是
极其珍贵的。 然而可惜的是,他们并没有对论坛的用户数据进行有效的保护,而是把所有的用户
资料都列了出来,我们可以写个小程序,很轻易的就可以获得这些用户资料。
2、锦桥纺织网(http://www.sinotex.net)
这也是一家比较有实力的网站,从其内容上就可见一斑。他们的好多内容都是向客户收费的,
也就是说只有收费会员才可以看见其中的一些关键信息。因而,如果能够进入他们的数据库系统,
获取收费会员信息的话,那么后果将是十分严重的,那样的话,他们的会员系统将不会起任何作用。
可惜的是,在会员系统的认证程序上,他们做得并不好,使得任何人都可以轻松的获得每个
会员的信息,包括密码。
3、中纺网络(http://www.cntextile.com)
这是具有政府背景的一家网站,属于纺织服装协会的,因此他们的信息都是极具价值的,都是
直接从协会的会员那边得到的,信息的真实性不容置疑。看得出来,网站在安全方面也是做了
不少的安全工作,看起来好像并没有什么问题。 但终究是百密一疏,还是有些细节的地方存在
严重的问题,使得用户可以进入他们的数据库系统中。这就是所谓的圆桶理论吧,其他地方做得
再好,但只要一个地方存在问题,那么后果也是致命的。
4、世纪纺织网(http://www.21fz.com/)
这个网站一看其样子,就知道用的是别人的系统,不是他们自己做的,尽管他们已经改的
面目全非了。别人的 东西不是不能用,但最起码用别人的东西不如用自己亲手做的踏实。而正好这套
系统存在着众多的安全漏洞,有些 漏洞是致命的,可以轻易的毁掉整个网站。
5、中国纺织商务网(http://www.chinatextile.net)
他最大的问题就是把它自己的网站和所有客户的网站都放在了一台服务器上,而对服务器又没有
进行严格 的权限限制。因此,在其服务器上的众多几十个网站中,只要攻破一个,那么整个服务器
将面临着严重的后果。
以上是几种不同类型的安全问题,就到此为止,具体技术细节不便多说。下面是几个存在严重
安全问题的 网站,它们存在的问题都足以毁掉整个服务器:
6、中国纺织进出口网 http://www.ctiew.com
7、中国服装财富网 http://www.chinafashion.net.cn
8、中国内衣网 http://www.ne365.com
9、国际服饰交易网 http://www.e-intl.net
10、环球纺织贸易网 http://www.21tex.com
11、中国服饰经理人 http://www.fsr.com.cn/
12、中国服装协会 http://www.cnga.org.cn
以上所有网站,均以通知相关负责人,望早日修补。
