生活,总伴随着无奈(手长一个疮,既然无法医,只能把手砍了

小虫评数码 2024-04-14 00:03:07

通知:极速空间网从2022年8月24日开始,关闭用户注册、登录功能。(查询、在线模拟DIY功能不受影响)

2002年8月22日,站长接到主管部门通知,网站有重大漏洞,要求限期修复。

看到函件,小小极速空间,竟然是“区级重点企业网站”?内心五味杂陈,一分自豪,九分担忧。

再看具体的整改文档,足足有298页,这份文档应该不是手工写作,可能是专业的网安软件检测后自动写的。极速空间网站有192个中危漏洞,风险总评等级为高危。

这192个中危,均指向同一个类型:HTML表单没有CSRF保护。

CSRF全称为跨站请求伪造(Cross-site request forgery)

攻击原理如下:

1、用户小张登录正规网站A,A通过用户的验证并在小张的浏览器中产生Cookie

2、攻击者通过某种方式诱导小张访问非法网站B

3、网站B会利用小张的浏览器访问A

4、网站WA接收到用户浏览器的请求,由于浏览器访问时带上用户的Cookie,因此A会正常响应。如此,非法网站B就达到了模拟小张操作的目的。(后果是:攻击者可以利用小张的账户发送邮件,发消息,以及支付、转账等。)

极速空间采用的是ECSHOP系统构建,漏洞看起来虽然只有一个类型,但涉及的内容非常多,所有涉及表单、ajax提交数据的地方都要修改,站长已经将此漏洞提交给ECSHOP现在的版权方S公司,回复说并未开发对应的补丁。

但管理者要求本月26日前就要解决,如何办?

只有一个简单粗暴的办法,就是关闭用户注册登录功能。

这相当于:

工人甲的手长了一个疮,老板看到后,认为有危害他人的风险,要求甲限期治疗。甲无钱找医生,自己也没有治疗的办法,只能找把斧头把手砍了。

这事不怪主管部门,我们都应该遵守国家法律。

这也怪不上S公司,任何软件系统都有漏洞。

这只能怪站长自己无能。

现实生活,就这么无奈。

0 阅读:0