• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    Web應(yīng)用四大安全漏洞分析

    2013-09-10 06:45:38楊燕婷
    中國教育網(wǎng)絡(luò) 2013年10期
    關(guān)鍵詞:教務(wù)攻擊者網(wǎng)關(guān)

    隨著Web技術(shù)的快速演變,近來黑客開始把關(guān)注重點轉(zhuǎn)向Web應(yīng)用系統(tǒng),2013年上半年Web應(yīng)用系統(tǒng)漏洞數(shù)量目前占新增漏洞的第二位,Web應(yīng)用系統(tǒng)的安全風(fēng)險達到前所未有的高度。目前,針對院校的專有系統(tǒng)(如電子郵件系統(tǒng)、教務(wù)系統(tǒng)登錄)的漏洞呈現(xiàn)增長趨勢,這些專有系統(tǒng)在開發(fā)之初沒有考慮安全因素導(dǎo)致存在安全漏洞,而造成用戶信息泄露等事件。本刊收集了相關(guān)漏洞的詳情供各學(xué)校參考并警惕以下漏洞,以防信息丟失而造成相應(yīng)的損失。

    快客電郵(quick mail)遠(yuǎn)程代碼執(zhí)行漏洞

    漏洞類型:命令執(zhí)行

    危害等級:高

    快客郵件系統(tǒng)(QuarkMail)存在的一個遠(yuǎn)程代碼執(zhí)行漏洞(CNVD編號:CNVD-2013-21254)。攻擊者利用漏洞可發(fā)起遠(yuǎn)程攻擊,通過執(zhí)行特定指令逐步滲透控制郵件服務(wù)器主機?;ヂ?lián)網(wǎng)上已經(jīng)出現(xiàn)了攻擊利用代碼,對相關(guān)服務(wù)器構(gòu)成信息泄露和運行安全威脅。

    根據(jù)CNVD測試結(jié)果,相關(guān)版本的快客電郵產(chǎn)品采用了CGI腳本,存在一處遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用漏洞直接發(fā)起惡意URL請求,遠(yuǎn)程執(zhí)行操作系統(tǒng)指令。通過當(dāng)前郵件服務(wù)器運行用戶已有權(quán)限,攻擊者可逐步滲透并控制郵件服務(wù)器主機操作系統(tǒng)。

    CNVD對該漏洞的綜合評級為“高?!?,該產(chǎn)品廣泛應(yīng)用于我國政府和重要信息系統(tǒng)部門以及軍隊、電信、新聞、教育機構(gòu)和科研院所等多個領(lǐng)域。目前,CNVD通過測試結(jié)果還未能確認(rèn)受影響的產(chǎn)品具體版本號。

    目前,互聯(lián)網(wǎng)上已經(jīng)披露了攻擊利用代碼,CNVD尚未獲知廠商對該漏洞的響應(yīng)情況。CNVD建議相關(guān)用戶直接聯(lián)系廠商,要求提供解決方案。

    eYou郵箱系統(tǒng)系列產(chǎn)品漏洞

    漏洞類型:用戶資料大量泄漏

    危害等級:高

    eYou是目前國內(nèi)機構(gòu)(高校、政府、企業(yè))使用率最高的郵箱系統(tǒng)之一。今發(fā)現(xiàn)eYou郵件系統(tǒng)、eYou郵件網(wǎng)關(guān)系統(tǒng)有多處嚴(yán)重的安全隱患,攻擊者可入侵服務(wù)器和盜取任意郵箱信息。

    影響版本:

    2007年以后所有版本,包括最新版。目前主要有默認(rèn)配置漏洞、舊版網(wǎng)關(guān)漏洞與新版網(wǎng)關(guān)漏洞、郵箱系統(tǒng)遠(yuǎn)程執(zhí)行漏洞。利用以上幾個漏洞,只要是使用eYou的郵箱系統(tǒng),就99%會被入侵。

    修復(fù)方案:

    更新到最新版本。

    詳情參見:

    h t t p://w w w.w o o y u n.o r g/b u g s/wooyun-2012-016448#

    萬能密碼進入高校銀校通Web管理系統(tǒng)

    漏洞類型: 設(shè)計缺陷/邏輯錯誤危害等級: 中

    銀校通是建立在銀行和學(xué)校的網(wǎng)絡(luò)互聯(lián)基礎(chǔ)上,方便學(xué)生或?qū)W生家長的網(wǎng)上即時動態(tài)繳費管理系統(tǒng),是銀行綜合金融服務(wù)產(chǎn)品的重要組成部分,是學(xué)校和銀行的便捷資金結(jié)算通道。

    只要進入學(xué)校的銀校通登錄頁面,知道學(xué)生銀校通的賬號,就可以輕松進入系統(tǒng)。但不可以直接修改密碼,從而利用其進入到其他系統(tǒng)中去。

    目前該漏洞已交由第三方(CNCERT國家互聯(lián)網(wǎng)應(yīng)急中心)處理 。

    而廠商方面答復(fù),CNVD確認(rèn)并復(fù)現(xiàn)所述情況,對于繞過情況有一個前提條件,即知曉學(xué)號,在近期的測試中復(fù)現(xiàn)一個實例。該問題已由中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組通知相關(guān)學(xué)校處理。

    URP教務(wù)系統(tǒng)信息泄露漏洞可查詢學(xué)生成績和照片

    漏洞類型: 未授權(quán)訪問/權(quán)限繞過危害等級: 中

    URP高校教務(wù)管理系統(tǒng)(University Educational Administration System,簡稱UEAS),數(shù)字化校園核心業(yè)務(wù)系統(tǒng)之一,集Client/Server和Browser/Web Server技術(shù)于一體,涉及教務(wù)、教學(xué)管理各環(huán)節(jié),面向?qū)W校各部門以及各層次用戶的大型集成教務(wù)管理信息系統(tǒng)。

    北京清元優(yōu)軟的URP教務(wù)系統(tǒng)用于國內(nèi)的各大高校的教務(wù)系統(tǒng),但是系統(tǒng)存在一個頁面,可以非授權(quán)查詢?nèi)魏螌W(xué)生的成績,只要知道學(xué)生的學(xué)號,就可以查詢學(xué)生成績、身份證、頭像等敏感信息。漏洞通用于所有URP系統(tǒng)。

    修復(fù)方案:

    刪除頁面,或者對頁面訪問進行一個session驗證等。

    猜你喜歡
    教務(wù)攻擊者網(wǎng)關(guān)
    基于微分博弈的追逃問題最優(yōu)策略設(shè)計
    教務(wù)排課對高等院校教學(xué)運行的作用分析
    大學(xué)(2021年2期)2021-06-11 01:13:16
    基于改進RPS技術(shù)的IPSEC VPN網(wǎng)關(guān)設(shè)計
    淺析高校教務(wù)管理存在的問題及對策
    傳播力研究(2019年8期)2019-03-20 10:58:14
    正面迎接批判
    愛你(2018年16期)2018-06-21 03:28:44
    淺談新形勢下高校教務(wù)管理人員的素質(zhì)與培養(yǎng)
    以培養(yǎng)方案為核心的教務(wù)管理系統(tǒng)開發(fā)的探索與實踐
    有限次重復(fù)博弈下的網(wǎng)絡(luò)攻擊行為研究
    LTE Small Cell網(wǎng)關(guān)及虛擬網(wǎng)關(guān)技術(shù)研究
    移動通信(2015年18期)2015-08-24 07:45:08
    應(yīng)對氣候變化需要打通“網(wǎng)關(guān)”
    太陽能(2015年7期)2015-04-12 06:49:50
    阿拉尔市| 平和县| 金乡县| 望城县| 江北区| 遵义县| 梁平县| 淮阳县| 马关县| 苍南县| 新干县| 井陉县| 礼泉县| 翼城县| 阳曲县| 太原市| 炉霍县| 大足县| 汕头市| 泗水县| 北辰区| 盐源县| 从化市| 南平市| 池州市| 宣化县| 革吉县| 湖口县| 温州市| 赤峰市| 邵阳县| 瓦房店市| 大田县| 安顺市| 汉源县| 曲靖市| 金溪县| 桂东县| 衡水市| 景洪市| 惠水县|