欢迎您来到极速空间!免费注册

生活,总伴随着无奈(手长一个疮,既然无法医,只能把手砍了)

通知:

极速空间访客,您好,本站从2022年8月24日开始,关闭用户注册、登录功能。(查询、在线模拟DIY功能不受影响)

 

2002年8月22日,站长接到主管部门通知,网站有重大漏洞,要求限期修复。

整改通知

看到函件,小小极速空间,竟然是“区级重点企业网站”?内心五味杂陈,一分自豪,九分担忧。

再看具体的整改文档,足足有298页,这份文档应该不是手工写作,可能是专业的网安软件检测后自动写的。极速空间网站有192个中危漏洞,风险总评等级为高危。

这192个中危,均指向同一个类型:HTML表单没有CSRF保护。

CSRF全称为跨站请求伪造(Cross-site request forgery)

攻击原理如下:

1、用户小张登录正规网站A,A通过用户的验证并在小张的浏览器中产生Cookie

2、攻击者通过某种方式诱导小张访问非法网站B

3、网站B会利用小张的浏览器访问A

4、网站A接收到用户浏览器的请求,由于浏览器访问时带上用户的Cookie,因此A会正常响应。如此,非法网站B就达到了模拟小张操作的目的。(后果是:攻击者可以利用小张的账户发送邮件,发消息,以及支付、转账等。)

砍断坏枝

极速空间采用的是ECSHOP系统构建,漏洞看起来虽然只有一个类型,但涉及的内容非常多,所有涉及表单、ajax提交数据的地方都要修改,站长已经将此漏洞提交给ECSHOP现在的版权方S公司,回复说并未开发对应的补丁。

但管理者要求本月26日前就要解决,如何办?

只有一个简单粗暴的办法,就是关闭用户注册登录功能。

这相当于:

工人甲的手长了一个疮,老板看到后,认为有这个疮有危害他人的风险,要求甲限期治疗。甲无钱找医生,自己也没有治疗的办法,只能找把斧头把手砍了。

这事不怪主管部门,我们都应该遵守国家法律。

这也怪不上S公司,任何软件系统都有漏洞。

这只能怪站长自己无能。

现实生活,就这么无奈。

 

最新咨询/评论

  • **** 2022-09-21 16:30 评价等级:很好

    现在意识形态领域抓得很紧,我们这些老百姓真是没什么办法的。

    站长回复:

    总的来说,极速空间网还是为社会做了一些贡献,至于这个贡献能做多久,就走一步算一步了

  • **** 2022-09-04 09:39 评价等级:很好

    贵站的此事,让我想起了我本地党员每月集中学习资料,打包通过扣扣传送,接连发送了3遍,都被系统屏蔽,发不出去,别人还怪我说怎么说了发的还没有发?真怪!后来没办法,只有将资料拆包后通过VX传出去的。 感觉有些事无疑是搞过了,这样无疑是把简单的事搞麻烦了。

    站长回复:

    估计是有敏感词,一旦检测到了就拒发,而WX的敏感过滤可能没有这个词

  • **** 2022-09-02 20:38 评价等级:很好

    其实大家陪你聊聊天也是蛮好的。。加油,小虫站长,永远支持你

    站长回复:

    是啊,生活不易。今天,坐标成都,已经晚11点了,还在等核酸检测,系统问题,只能熬夜等了

  • **** 2022-09-01 10:56 评价等级:很好

    感觉2018年时候的小虫老师是巅峰期。。。。。期待再上巅峰

    站长回复:

    以前不知道个人站长这个职业水有多深,以为是泳池,刚跳进去还能游几圈,结果后来发现这不是泳池,是大海,刚起浪就淹个半死。

  • **** 2022-08-31 10:39 评价等级:很好

    方案:
    1.等待,也许几个月之后“主动”放松监管了,不过可能性太小了。
    2.跟朋友吃饭的时候多聊聊,没准碰个人愿意友情价帮你改代码,那也要5千——2万之间,毕竟系统太旧了,维护也麻烦,这个可能性其实也挺小。

    站长回复:

    不想去修补了,因为漏洞层出不穷,就算这个补了,下次升级扫描系统,又可能冒出来新的漏洞,直接砍手就比较方便(user.php代码清空后,所有的用户风险都没有了)

  • **** 2022-08-29 17:45 评价等级:很好

    站长别灰心,任何人不论好人坏人,只要活着,都会碰到不顺心的事。只是好人碰到的不顺心的事会明显比坏人更多,但好人还是好人,不后悔,所有的事也终都会过去。敬站长这个好人。

    站长回复:

    谢谢,随着年龄的增加,对世界的理解也越深

  • **** 2022-08-28 22:17 评价等级:很好

    唉,其实这种检查根本就是****。安全要求是跟损失价值对应的,你这个网站只是给用户买电脑而已,属于无关紧要的领域,根本就不需要管什么跨站攻击漏洞。这纯属是***为了****层层**,就跟查****最后只找出两个***一样**。

    站长回复:

    虽然很赞同你的观点,无奈敏感词语太多,怕被扫描到了会有麻烦,只能打上*

  • **** 2022-08-27 09:27 评价等级:很好

    国家最近确实很重视网络安全,我司也被网安组织白帽子攻击了

    站长回复:

    这次确实是专业公司的检测,文档里还给出了解决方案,但工程量太大,个人很难做,公司又请不起,只能砍手以谢天下

总计 19 个记录,共 3 页。 第一页 最末页

请在这里填写文章评论/纠错

用户名: 匿名用户

台式组装电脑 公司简介 | 联系我们 | 版权声明 | 极速空间淘宝店
地址:成都市人民南路4段1号数码广场5楼537号
公司名称:成都极速空间科技有限公司 统一社会信用代码:91510107MA62MEUF1L 查看营业执照图片>>
Tel: 028-85533109
Powered by ECSHOP
ICP备案证书号:蜀ICP备05012298号-1

川公网安备 51010702000032号


极速空间网是成都电脑专业DIY网站,提供电脑配置、组装电脑、电脑装机等服务。。
共执行 155 个查询,用时 0.148078 秒,在线 1936 人,Gzip 已启用,占用内存 3.840 MB
.