本市的一個政府網站被放五星旗了,可看新聞報導
我第一眼看,應該不是漏洞導致控制權被奪取的入侵,看起來像是後台密碼太弱被人登進去
因為被置換的地方都是固定本來就有放圖片的地方,只不過換成別張圖片而已
控制權被奪取的入侵,應該是直接整個網頁換成一大面五星旗,也就是說網站整個架構都變了
但這個明顯不是,明顯只有換取已存在位置的圖片的能力
後來過了一兩天,忘記是哪邊的鑑定,說是使用ckeditor造成的漏洞導致駭客入侵的
然後本市資訊中央就下達指令,有用ckeditor請停用或其他替代方案,否則後果自負?
基本上聽到這裡,有一定資訊能力的人一定看出什麼問題了
就到底上頭主政的資訊單位的資訊能力到底有多差?沒錯這就是現況
差在哪?今天javascript寫的套件ckeditor怎麼可能有能力入侵伺服器….
有點概念的都知道,javascript是執行在我們客戶端電腦的程式,完全沒有能力可以干涉伺服器端的程式
那又怎麼能夠使用 javascript入侵伺服器端,縱使javascript再有天大的漏洞,也沒辦法
最後真正實際原因是什麼?
就是ckeditor有個上傳圖片檔案的功能,那通常這類套件可能都會附上相關後端程式的程式碼
讓開發著知道,後端到底要怎麼接收處理前端ckeditor傳來的圖片檔案
沒錯,問題就出在這支官方提供的範例後端程式,並沒有設防,這個網站的開發商直接改都沒改copy來用
所以駭客找到這隻後端程式後,就可以直接利用這個程式上傳圖片檔案到你伺服器
跟ckeditor本身根本沒有關係,唯一有關的大概就是這個範例程式是ckeditor官方文件提供的
但不懂的資訊高層,只會知道
喔它是從ckeditor官方來的東西=>所以ckeditor有漏洞可以入侵=>所以ckeditor不能繼續用
根本腦殘,非資訊專業的就算了,但資訊高層也這樣
這也就是為什麼我們政府的資訊化會很落後,很慢,因為上面的人都…..
更別提這陣子,做了一堆腦殘的防禦舉動,完全人工防禦對方可能的攻擊
阿共或許根本沒動作,我們政府自己就先累死了,根本笑死
太過白癡的一個月,在這邊紀錄一下~~~