首页调查数字政府部网站上的安全漏洞

数字政府部网站上的安全漏洞

在属于数字政府部的公共网站和应用程序注册表的网站上发现了一个严重的安全漏洞,该网站有585个注册网站和36个注册应用程序。

两名希腊研究人员Dimitris Hatzidimitris和Anastasis Vassiliadis设法在数字政府部的网站上找到了安全漏洞,更具体地说,在公共网站和应用程序注册簿中找到了安全漏洞。 这样一来,他们就可以执行SQL注入技术,并获得对组织部分数据库的访问权限。

更多新闻: 网络安全分析:塞浦路斯网络攻击的研究结果

数字政府部网站上的安全漏洞
数字政府部网站上的安全漏洞

据希腊调查人员称,该组织已及时收到有关安全漏洞的通知,但迄今为止,尚未进行任何维修。

该漏洞是SQL注入类型和特定的弱点:

  • 参数:orgID(GET)
  • 类型:基于时间的盲人
  • 标题:MySQL> = 5.0.12 AND基于时间的盲注(查询SLEEP)

“该漏洞使我们能够访问公共网站和应用程序注册数据库。 研究人员通常说:“在那之后,由于我们已经确认了网站安全性的弱点,因此我们没有继续进行对服务器的访问。”

这是数据库的屏幕截图。

我们注意到这些表包含敏感的用户数据,例如名称和密码。

内容如下:

研究人员本身以及SecNews仍可以将直接感兴趣的人员掌握的确切信息和研究人员所使用的弱点。 我们没有透露此漏洞的确切范围,因此不会被恶意用户利用或攻击第三国黑客。

更多新闻: Grace CPU NVIDIA首个基于ARM的数据中心处理器

有关在组织中发现的漏洞的信息被认为是非常必要的(尤其是当它们位于高流量的网站上并且包含敏感的用户数据时),对于我们SecNews而言,它们是当务之急。

我们希望以这种方式(即直接暴露任何漏洞而不是其“引擎盖”)为更安全的互联网做出贡献。

数字政府部网站上的安全漏洞
数字政府部网站上的安全漏洞

公共网站和应用程序注册

公共网站和应用程序注册机构属于数字政府部,拥有585个注册网站和36个注册应用程序。

根据相关法律,维护“公共网站和应用程序注册”(ΜΗ.Δ.ΙΣ.ΕΦ.),该网站必须包括符合法定要求可访问性的公共机构移动设备的所有网站和应用程序。 (ΜΗ.Δ.ΙΣ.ΕΦ.)保留在数字化战略部数字化战略局,数字化治理总局的无障碍获取和社会事务部中

ΜΗ.Δ.ΙΣ.ΕΦ。 在遵守欧盟和国家法律方面发挥着重要作用。 它还有助于履行义务,巩固机制,以便利公民与公共部门机构就网站的访问性和移动设备应用程序问题以及公共部门机构在特定期限内采取适当行动进行沟通。

信息: https://mhdisef.mindigital.gr/index.php

数字政府部网站上的安全漏洞
数字政府部网站上的安全漏洞

SQL注入攻击

SQL注入是一种代码注入技术,允许攻击者针对目标服务器“运行” SQL语句。 成功的SQL注入攻击可以在目标数据库上执行任何查询,这也意味着可以收集重要信息,例如密码,用户名,电子邮件,信用卡号等。

这些攻击利用了与存储数据库的后端服务器通信的Web应用程序中的漏洞。 缩写SQL来自“结构化查询语言”(Structured Query Language)一词。 它是一种用于在SQL数据库中添加,操作和检索数据的编程语言。 如果页面容易受到SQL注入漏洞的攻击,攻击者可以通过一些简单的命令轻松找出。 如果是这样,那么他们将能够窃取数据,销毁数据,甚至成为数据库服务器管理员。

数字政府部网站上的安全漏洞

更多新闻: 漏洞危及数百万个IoT设备-立即更新!

预防措施

  • 也许最重要的预防措施是适当的设计,良好的构造和对数据库的持续监控,以使它不容易受到这种攻击。
  • 限制服务器配置数据:限制对错误参数的访问可以减少攻击目标服务器的机会。 尽管它不提供100%的安全性,但这是迈向数据库安全性的第一步。
  • 管理员对网络上所有SQL Server的充分了解:首先,管理员需要知道网络上有多少SQL Server。 这个过程可能并不像看起来那样简单,因为大多数服务器都在动态TCP端口上运行,并且通常这些服务器仅在用户“需要”它们时才起作用。 因此,某些服务器可能不处于活动状态。 可以使用SQL Ping,SQL扫描和更专业的软件来查找所有SQL Server。
  • 持续更新。 软件公司通常会发布更新来修复潜在的漏洞。 因此,组织必须注意更新其使用的应用程序,软件和整个系统,以确保安全。
  • 启用和配置Web应用程序防火墙。
  • 阻止未知用户对特定服务器端口的访问:它不能提供绝对的安全性,尤其是在SQL注入攻击中,但是它是公司或组织整个网络的重要安全措施。 例如,关闭UDP端口1434 [此端口用于映射Microsoft SQL数据库]和SQL Server“侦听到”的所有TCP端口都可以增强安全性。
  • 采用强力的管理员密码。 使用强密码可以防止暴力破解,SQL注入和许多其他攻击。 还建议经常更改它们。

实时新闻