周末晚上收到某客戶(hù)一份轉(zhuǎn)發(fā)過(guò)來(lái)的文件-《長(zhǎng)沙市開(kāi)福區(qū)互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全風(fēng)險(xiǎn)告知函》，告知函是由長(zhǎng)沙市開(kāi)福區(qū)互聯(lián)網(wǎng)信息辦公室，也就是我們俗稱(chēng)的網(wǎng)信辦?？吹轿募?biāo)題非常疑惑，因?yàn)榭蛻?hù)網(wǎng)站幾乎沒(méi)啥交互功能，都是單向提供信息的，應(yīng)該不可能“犯錯(cuò)誤”。

打開(kāi)文件后發(fā)現(xiàn)是被網(wǎng)信辦告知的是關(guān)于網(wǎng)站存在安全漏洞。而且這個(gè)安全漏洞，在很多傳統(tǒng)網(wǎng)站上都可能出現(xiàn)。屬于網(wǎng)站程序在處理文件錯(cuò)誤時(shí)會(huì)泄露物理路徑，屬于一個(gè)中危漏洞。也就是訪問(wèn)特定url路徑會(huì)直接在頁(yè)面把報(bào)錯(cuò)信息打印出來(lái)，這樣文件的物理路徑也就暴露了。

這種漏洞不僅僅常見(jiàn)于一些小網(wǎng)站，實(shí)際上也存在于一些知名的行業(yè)網(wǎng)站，如上截圖就是某知名網(wǎng)站錯(cuò)誤訪問(wèn)路徑報(bào)錯(cuò)頁(yè)面，報(bào)錯(cuò)頁(yè)面的信息就包含了網(wǎng)站程序的文件物理路徑。那么暴露這樣的路徑是不是表示就這樣的網(wǎng)站一定會(huì)被攻擊呢？也不一定，只能說(shuō)這樣的問(wèn)題會(huì)讓攻擊者的攻擊行為成本更低、更快，因此完全也算是安全漏洞。

這樣漏洞的修復(fù)是比較簡(jiǎn)單的，只需要在應(yīng)用程序或者服務(wù)器軟件（如上面是php），設(shè)置屏蔽錯(cuò)誤信息輸出即可，因此以上漏洞修復(fù)都是免費(fèi)進(jìn)行的。

但是一些體制內(nèi)單位，可能需要更高的安全標(biāo)準(zhǔn)，比如政府機(jī)構(gòu)、公立學(xué)校等。最近我們也收到一個(gè)體制內(nèi)單位網(wǎng)絡(luò)安全整改報(bào)告，那樣的報(bào)告對(duì)安全方面是特別重視的，基本參照三級(jí)等保來(lái)做的。比如說(shuō)用戶(hù)信息明文提交問(wèn)題、后臺(tái)管理登錄路徑暴露問(wèn)題。

舉例：后臺(tái)管理登錄路徑暴露問(wèn)題

這樣的問(wèn)題嚴(yán)格來(lái)講肯定屬于漏洞，甚至屬于中高危漏洞。然而在傳統(tǒng)觀念里，這都不是事兒，因?yàn)橹灰贁?shù)大型網(wǎng)站才會(huì)避免這樣的問(wèn)題。而互聯(lián)網(wǎng)網(wǎng)上的大多數(shù)網(wǎng)站都存在這樣的安全問(wèn)題，哪怕是一些上規(guī)模的網(wǎng)站。

特別一些基于開(kāi)源程序構(gòu)建的網(wǎng)站，幾乎都會(huì)暴露后臺(tái)登錄地址，比如WordPress的/wp-admin、discuz的/admin.php。但對(duì)安全要求很高的網(wǎng)站都會(huì)避免這些問(wèn)題，比如美國(guó)白宮官網(wǎng)是基于WordPress構(gòu)建的，但是它訪問(wèn)/wp-admin就會(huì)報(bào)錯(cuò)，也就是隱藏了真實(shí)的后臺(tái)登錄地址頁(yè)面。

舉例：?用戶(hù)信息明文提交問(wèn)題

這個(gè)問(wèn)題除了最新的標(biāo)準(zhǔn)產(chǎn)品以及以前安全需求比較高的自研網(wǎng)站，一般都存在。如下是某知名網(wǎng)站用戶(hù)登錄數(shù)據(jù)提交，就是明文的。

這樣明文提交有什么問(wèn)題呢？就是用戶(hù)在客戶(hù)端（瀏覽器）提交用戶(hù)名密碼會(huì)通過(guò)網(wǎng)絡(luò)明文傳輸?shù)骄W(wǎng)站服務(wù)器，在這個(gè)過(guò)程中請(qǐng)求的數(shù)據(jù)包如果被攻擊者獲取，這樣用戶(hù)的用戶(hù)名和密碼等敏感信息就被攻擊者獲取，理論上講肯定是是存在安全問(wèn)題的。所以現(xiàn)在越來(lái)越多的網(wǎng)站開(kāi)始使用https協(xié)議進(jìn)行客戶(hù)端與服務(wù)端數(shù)據(jù)傳輸，其中作用之一也是解決類(lèi)似這樣的問(wèn)題。

實(shí)際上一些較大型網(wǎng)站或者對(duì)安全標(biāo)準(zhǔn)要求較高的網(wǎng)站都不會(huì)這樣直接明文提交與傳送，至少是密碼部分加密處理的，比如下面是百度主站用戶(hù)登錄信息提交（實(shí)際上我輸入的登錄密碼是123456），被加密成一串沒(méi)有規(guī)律的字符。

目前越來(lái)越多的體制內(nèi)單位被要求安全整改，其中最典型的就是上面兩個(gè)例子這樣的安全漏洞。比如湖南省的高校，湖南大學(xué)和中南大學(xué)主站就已經(jīng)使用了上述用戶(hù)信息加密提交和傳輸?shù)姆绞?，而也有一部分學(xué)校并沒(méi)有，估計(jì)后續(xù)都會(huì)全部跟進(jìn)整改。

網(wǎng)信辦等主管部門(mén)提出這樣的要求，筆者認(rèn)為是非常有必要的，對(duì)于我們這種堅(jiān)持定制開(kāi)發(fā)的服務(wù)商也是利好的。因?yàn)槲覀冏龅膽?yīng)用程序都是我們自己開(kāi)發(fā)的（當(dāng)然可能會(huì)使用一些成熟的開(kāi)發(fā)框架之類(lèi)的），但這些即便存在安全漏洞我們是完全有能力進(jìn)行修復(fù)的。影響最大的或許就是那些使用盜版源代碼的單位或者個(gè)人，因?yàn)榧幢愀嬷嬖谀切﹚eb應(yīng)用層面的安全漏洞他也不知道如何去修復(fù)。比如上面舉例的兩個(gè)安全漏洞，對(duì)于自研產(chǎn)品來(lái)講修復(fù)優(yōu)化是沒(méi)有任何技術(shù)難度的，當(dāng)然需要花一點(diǎn)點(diǎn)時(shí)間。

最大的利好者，還是千萬(wàn)網(wǎng)民，這樣網(wǎng)絡(luò)上就會(huì)減少很多不良信息。比如現(xiàn)在，很多普通用戶(hù)經(jīng)常需要訪問(wèn)的網(wǎng)站，結(jié)果用戶(hù)打開(kāi)進(jìn)去是一些不堪入目的東西，尷尬的要命。其實(shí)這些不良信息并不是網(wǎng)站運(yùn)營(yíng)方弄的，而是網(wǎng)站存在嚴(yán)重的安全漏洞被黑產(chǎn)利用進(jìn)行掛馬之類(lèi)的操作。