Posts Tagged ‘security’
硍~ 才剛裝不到一個禮拜的 Server 就被破台 喵的 原因是安裝 Tomcat 的時候沒設定管理密碼 所以從 Tomcat 的管理介面上傳 JSP 木馬(jShell, jFoler, jsp File Browser) 在利用 jsp 木馬去執行 shell command 就可以新增 user 解決方法 去改 conf\tomcat-users.xml 設定 admin 的密碼 直接幹掉 \webapps 底下的 host-manager, manager 所以不能隨便當大牛 因為大牛比較懶。 延伸閱讀 JavaWorld@TW – tomcat被駭了
剛剛看到一篇新聞—色情資訊 攻陷名校網站 現在辦個活動沒網站就遜掉了,但是問題來了,從網站的開始到結束牽涉到技術與政策的議題,以現在而言,技術議題到還好,因為軟體的進步作網站變得很簡單,再加上許多的 Open Source 的小程式,要做到公佈欄、留言板都不是難事。 隨之而來的就是網站管理政策的問題,通常活動辦完人就解散了,但是網站還在運作,可以保留過去歷史資料以後參考。另外如果需要網站空間的話,通常都是向電算中心或是系上申請空間,申請空間自然有申請流程,當然有申請空間的流程也有關閉空間的流程,然而這邊有些管理政策的問題。 如果是因為辦活動需要的空間,應該詳列使用期間,期間到後應該關閉空間或是改成 Access Deny,如果需要永久保存,應該將全站改成唯讀,資料庫也要關閉寫入,然而通常電算中心或是系上不會去管這些事情,於是網站就放在那邊爛,放久難免會有奇奇怪怪的東西會被 Po 上去。 之前我管理的 wiki site 也被 spam 攻擊,也是因為疏於管理,慘遭 Spam 攻擊,突顯出政策的重要性,近年來政策的議題開始慢慢超越技術上的議題,技術上的議題在於增加攻擊者的成本而政策的議題在於素養的養成,就算有再好的防火牆,內部員工沒有資訊安全的素養,一樣也是沒用。
