網站內容管理系統(CMS) 自誕生之日起,便是網站建設的一個重要領域,CMS 以其豐富多樣的功能和簡單易用的操作,有效地解決了用戶網站建設與資訊發布中常見的問題和需求,一直深受眾多使用者的青睞,
正因如此,利用 CMS 對網站進行攻擊,也就成為黑客的常用手段之一,無需太多復雜的技術手段,只需登錄網站 CMS,黑客便可方便快捷地植入暗鏈和上傳 WebShell,然而,大部分網站的安全防護策略會將 CMS 的各項功能列入白名單,或者說,來自 CMS 的操作其惡意與否通常難以辨別,
同時,部分網站的管理者貪圖方便,經常將 CMS 入口直接暴露于網站首頁,
有明目張膽型的:
▲后臺入口常見位置
也有下面這種此地無銀三百兩型的:
User-agent: *
Disallow: /d/
Disallow: /e/class/
Disallow: /e/config/
Disallow: /e/data/
Disallow: /e/enews/
Disallow: /e/update/
▲某CMS系統默認的robots.txt檔案
當然,也少不了這種欲蓋彌彰型的:
對于黑客來說,暴露的后臺入口如同黑夜中的燈塔,為入侵指明了方向,只需一組管理員(或僅為高權限編輯者)的賬號密碼,入侵網站服務器便輕而易舉,若 CMS 同時存在 SQL 注入漏洞,用戶使用弱口令甚至明文保存用戶名密碼,抑或驗證方式過于簡易等諸如此類的問題,只能讓黑客仰天長嘯:
天吶 !
簡直瞬間擁有武林兩大絕學
一陽指 + 獅吼功
即視感 !
不要以為這只是坊間笑談的故事,來看一個真實的事故——
案例網站的首頁醒目標明“后臺入口在此,速來”,甚至還有注冊功能(嘗試后發現并未開放注冊),黑客的嘗試方向已相對明確——尋獲可登錄的賬號密碼一組,
隨即點開一篇新聞內頁,發布者看起來長得很像用戶名,
嘗試登錄后,查看錯誤提示:這個用戶使用的是弱口令,直接登錄成功了!
從 CMS 來看,管理成員的權限劃分也十分粗糙,其他高權限用戶的資訊發布情況一覽無余,更可怕的是,高權限用戶也使用了同一弱口令,
以此案例可見,暴露的 CMS 入口、顯而易見的用戶賬號、弱口令,帶來的后果不堪設想,簡直是為心懷惡意者敞開了自家大門,
然而,災難遠未就此終結……
我們可以從網站的 whois 資訊、首頁的著作權資訊、友情鏈接以及搜索引擎里順藤摸瓜,找出使用相同 CMS 的網站,相同的 CMS 往往意味著相似的安全隱患,比如下面這個:
從新聞內頁來看,管理者使用了昵稱欄位,看似避免了后臺用戶名的泄漏,可是網站偏偏畫蛇添足,多出了個用戶資訊展示的功能,后臺用戶名還是暴露在外,
利用這個不知為何存在的功能,可以遍歷出后臺所有的用戶名,再加上 CMS 簡單的登錄驗證,后臺爆破變得例外容易,剩下的只是時間問題,
從用戶[aaaaaa]是一位超級管理員這一點,就足以令人相信,這個 CMS 后臺還存在更多更嚴重的問題,網站服務器恐怕早已千瘡百孔,
一個暴露的 CMS 不僅要抵御各種注入,還要抗住各種暴力破解,更有社會工程學防不勝防,在現今的互聯網環境下,很難判定網站的訪問者是否懷有惡意,作為網站的管理平臺,CMS 使用者主要是網站的管理人員,如果僅為了方便,便將其暴露于互聯網之中,將會極大地增加網站的資訊安全風險,實非明智之舉,在 《國務院辦公廳關于印發政府網站發展指引的通知(國發辦〔2017〕47號)》 中,就明確要求“前臺發布頁面和后臺管理系統應分別部署在不同的主機環境中,并設定嚴格的訪問控制策略,防止后臺管理系統暴露在互聯網中”,
倘若我們的網站已如文中案例,由于各種原因很難再分離 CMS 了,還有解決辦法嗎?答案是肯定的,不過,我得先去向老師們匯報網站安全問題了,
欲知后續,且聽下回再敘,(張旭 | 天存資訊)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/288000.html
標籤:其他