近日一位綽號"Unu"的羅馬尼亞黑客在自己的博客上披露,他發現英國議會的官方網站上存在SQL注入漏洞,而這些漏洞則暴露了很多機密信息,包括未加密 的登錄證書等.利用這種漏洞,他宣稱只要在瀏覽器中的網頁地址後面加上資料庫指令,就可以從網站後台伺服器上竊取到有關的機密數據.更糟糕的是,當局對該網頁漏洞的防範意識和反應速度都很難令人滿意.
這次事件至少反映出該網站的兩個重大問題,首先是存有SQL注入攻擊漏洞,
也沒有對機密數據進行加密處理,而是採用明文的方式進行保存;另外,網站帳戶的密碼本身也存在不少漏洞,這些密碼都比較容易被猜測出來.其中一個用戶名為“fulera”的帳戶,據猜測是Alex Fuller的帳戶,此人目前是英國議會官網的高級網頁製作人員.
不過目前我們還不清楚這次泄密的嚴重程度,這些帳戶和密碼也許已經被棄用了數周乃至數月之久.而我們周二聯繫到的議會官員則表示會對這起事件進行一些調查,然後才會告知我們有關的調查結果.
不論如何,這起事件的發生無疑反映出英國議會官網的安全防範意識非常薄弱.兩周前,媒體已經報道了有黑客利用同樣的SQL注入漏洞攻擊美國一些官方網站的消息,而這些事件顯然未引起他們足夠的重視.
更糟糕的是,漏洞被攻破后的48小時內,Unu本人,Softpedia網站以及Register網站已經通過留言,發文以及電話等多種形式對有關方面進行了警告,而該漏洞直到周二晚卻一直沒有得到修補.
[火星人 ] 東歐黑客用SQL注入漏洞破英議會官網已經有244次圍觀
