2019年,一则消息,在中国黑客(安全)圈子里面传播。起因是李狼人和其徒弟李狠人,因为非法入侵银川市某政府网站被银川市公安局刑拘,因为此案的一些特殊性质和一些国内安全圈子理念问题和无授权进行渗透测试的安全 ...
|
2019年,一则消息,在中国黑客(安全)圈子里面传播。 起因是李狼人和其徒弟李狠人,因为非法入侵银川市某政府网站被银川市公安局刑拘,因为此案的一些特殊性质和一些国内安全圈子理念问题和无授权进行渗透测试的安全问题被广泛传播,对安全从业者造成了一定的恐慌。 事情发生在2019年7月19日,银川市某政府网站管理员向网安支队报警,该政府网络内局长信箱模块有网民多次发送非正常留言,后模块运行不正常,疑遭黑客攻击。 接到报警后,公安民警开始了侦查,在后台和数据库发现,网站被黑客注册了“admin、admi”两个用户,通过这两个用户,表面上留言内容为“11111111”或者空白,但其实均隐藏着恶意代码。 看到这里,相信大家都看明白了,这就是注册了用户,然后在留言等位置插入了xss代码,这不是黑客基操吗? 但是,请各位看黑板,注意我说的,根据目前在嘉州监狱服刑的黑客龙哥多年的娱乐圈黑客经验,特别是政府网站,存在的最大问题就是: 1.网站建设都是外包,而往往这些外包的建站公司,在安全这一块都是两眼一抹黑,一个不懂安全的公司,只追求能用,最终呈现的网络结构属于,只是把架子搭起来了。 2.很多政府网站都怀旧,不知道是不想拨款改进,还是没钱拨款改进,一个网站系统用了十几年,老掉牙的程序,放在哪儿,在各种应急中,发现某政府网站程序中的大马,从2009年上传到2020年被发现,十年时间,当初上传木马的黑客,现在孩子都上小学了。 3.新漏洞出现得不到具体的应急,往往都是火烧屁股才知道跳,要么被黑客利用漏洞在网站挂了博彩链接,要么就是被人利用漏洞添加了勒索病毒程序,往往也是到了这一步,才会想到应急,请各位先别杠,除了沿海地区和较为发达的地区,国内多数地方,都是很难在安全上面投入太多人、物、财。近几年的攻防演练,和国内众测和漏洞挖掘的形式,给国内政企网站加了一个循坏渗透测试模式,无数国内的安全人士前仆后继,就跟焊工一样,到处找漏洞修修补补,国内的安全问题,只会更加严重。 当然,我们说的这个案子核心问题就来了,在侦查员侦查后,发现犯罪嫌疑人,李狼人(师傅)供职于新疆乌鲁木齐某网络科技公司,负责向运营商提供重要信息系统等级保护测评业务,工作中网络渗透测试的目标网站均获得官方授权,属于公司正常业务行为。 在掌握嫌疑人犯罪事实以及住址后,专案组于7月25日派出抓捕小组赴新疆乌鲁木齐市进行抓捕,经过当地警方大力配合,于7月31日将两名嫌疑人成功抓获归案。 请注意,李狼人是一个网络安全从业者,且从事渗透测试和等保测评,咱们不谈他技术的高低,只单纯的说,他是有专业的技能的。 那么,李狼人为何会对银川市的政府网络实施黑客攻击呢? 原来,李狼人就是银川人,最近闲的没事,也可能是公司任务安排的不多,他利用休息时间,在未授权的情况下,对银川市的某政府网站进行渗透测试,他的目的就是为了找出网站漏洞并生成漏洞报告,然后上传CNVD(国家信息安全漏洞共享平台,由国家计算机网络应急技术处理协调中心运营),由CNVD下发各网站进行修补。 注意,这个测试,是他在未授权的情况下进行的,用他的话来说,想就是为家乡的网络安全做贡献。 在这里,我在查阅相关情况的时候,发现他干了一件蠢事,当然,是以我局外人的身份来看,李狼人为了一直强调自己是在为家乡做贡献的情况下,还交代了自己对包括石嘴山市多个政府网站及周边多个省、市政府网站进行攻击。 我的天呐,这不是传说中的二愣子是什么?你是生怕警察叔叔觉得你本事小了?还是生怕别人不知道你能力强?龙哥在监狱掐指一算,命里该有这一劫,躲不掉。 我甚至猜测,李狼人带着徒弟李狠人,在插入了xss代码之后,对这个网站根本就没有继续关注了,甚至没有拿到cookie来伪造管理员进入后台,你说这不是吃饱了撑的么,以龙哥的经验来说,一天插满一百个留言板,等他个两天,再到xss平台看看有没有返回信息就行了。 当然,还可以继续猜测,李狼人从事的也不是专职的渗透测试岗位,很大概率是安服仔,xss代码把网站插死的例子不在少数,但是李狼人这回运气比较好,刚好代码弹过去就弹出问题了,管理员登录后触发了代码,导致程序出现问题,这也告诉了各位,xss不能乱插,要有规律的插,细插慢插。 但是又冒出一个新的问题,那就是网安人都关心的问题: 1、未授权渗透测试到底会不会被抓? 2、未授权挖公益漏洞出事了,36数字会不会保我? 首先第一个问题,未授权渗透测试到底会不会被抓? 这个是完全有可能的,毕竟挖了这么多年了,很多有规模的厂商都有处理流程了,没有破坏计算机和dump数据的情况下,单纯的挖掘漏洞去提交,一般都没有任何问题,但是,你要明白,政企政企,政府和企业网站,都是提交的这两类网站,渗透测试人员参差不齐的情况下,手痒读数据和传马的不少,提权失误导致服务器宕机又有不少,你们要明白,你们未授权做的一切行为,当事的政企网站并不知晓,一旦出现问题,你根本跑不了。 第二个问题,未授权挖公益漏洞出事了,某天会不会保我? 现在很多漏洞提交平台都把未授权提交的漏洞叫公益漏洞,但就我本人在几个公益群发现的情况来看,有以下感悟: 1、一群人在群里天天喊漏洞审核慢。 2、一群人天天在群里喊公益没有钱拿。 其实这都无所谓,审核慢是因为提交的太多了,或者说,想下自己的漏洞为什么审核要十天半个月?什么某镇拖拉机厂官网getshell,某县猪饲料厂后台弱口令,就这种标题,能过审才怪了。 另外就是天天喊公益漏洞没有钱拿的,你都混到挖公益了,要么就是大爱无私,要么就是菜的抠脚,就用GOBY XRAY WVS在VPS上面联动,睡醒之后看结果的人,你还吆喝什么自己辣么大个漏洞,厂商辣么大个厂商,一毛钱都舍不得给。 这其实也不是我反感的地方,关键是,一年时间了,都还没去玩玩众测,一年时间翻来覆去都是那拨人在群里: 审核慢、隔壁三天审完、公益没钱、厂商真抠,我是真的听吐了。 还是回到正题,在某天提交漏洞出事了,他会不会保你? 笑死了,根本不会好嘛? 1、山高皇帝远,人家根本不认识你好吗? 2、一来直接刑拘了,你根本没时间去说那些废话好么,最多联系你家里人,告诉他们你犯事儿了,要配合调查。 3、你有授权书吗? 所以,综合来看,整出问题来了,你只能默默承受,某天根本都不认识你,怎么可能会帮你,善待自己,自己先吃饱饭,不要天天想着为家乡做贡献。 最后,李狼人和李狠人两名嫌疑人对犯罪事实供认不讳,目前羁押在银川市看守所,当然,现在是2021年了,应该快出来了。 渗透测试不授权,临别亲人两行泪! 本文来自网络,如若转载引用本网站内容须注明原网址,并标明本网站网址(www.anwei66.com)。 对于不当转载或引用本网站内容而引起的民事纷争、行政处理或其他损失,本网站不承担责任。 |
广告
广告
广告
广告
0