周末晚上收到某客戶一份轉(zhuǎn)發(fā)過來的文件-《長沙市開福區(qū)互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò)安全風(fēng)險告知函》，告知函是由長沙市開福區(qū)互聯(lián)網(wǎng)信息辦公室，也就是我們俗稱的網(wǎng)信辦。看到文件標(biāo)題非常疑惑，因?yàn)榭蛻艟W(wǎng)站幾乎沒啥交互功能，都是單向提供信息的，應(yīng)該不可能“犯錯誤”。

打開文件后發(fā)現(xiàn)是被網(wǎng)信辦告知的是關(guān)于網(wǎng)站存在安全漏洞。而且這個安全漏洞，在很多傳統(tǒng)網(wǎng)站上都可能出現(xiàn)。屬于網(wǎng)站程序在處理文件錯誤時會泄露物理路徑，屬于一個中危漏洞。也就是訪問特定url路徑會直接在頁面把報錯信息打印出來，這樣文件的物理路徑也就暴露了。

這種漏洞不僅僅常見于一些小網(wǎng)站，實(shí)際上也存在于一些知名的行業(yè)網(wǎng)站，如上截圖就是某知名網(wǎng)站錯誤訪問路徑報錯頁面，報錯頁面的信息就包含了網(wǎng)站程序的文件物理路徑。那么暴露這樣的路徑是不是表示就這樣的網(wǎng)站一定會被攻擊呢？也不一定，只能說這樣的問題會讓攻擊者的攻擊行為成本更低、更快，因此完全也算是安全漏洞。

這樣漏洞的修復(fù)是比較簡單的，只需要在應(yīng)用程序或者服務(wù)器軟件（如上面是php），設(shè)置屏蔽錯誤信息輸出即可，因此以上漏洞修復(fù)都是免費(fèi)進(jìn)行的。

但是一些體制內(nèi)單位，可能需要更高的安全標(biāo)準(zhǔn)，比如政府機(jī)構(gòu)、公立學(xué)校等。最近我們也收到一個體制內(nèi)單位網(wǎng)絡(luò)安全整改報告，那樣的報告對安全方面是特別重視的，基本參照三級等保來做的。比如說用戶信息明文提交問題、后臺管理登錄路徑暴露問題。

舉例：后臺管理登錄路徑暴露問題

這樣的問題嚴(yán)格來講肯定屬于漏洞，甚至屬于中高危漏洞。然而在傳統(tǒng)觀念里，這都不是事兒，因?yàn)橹灰贁?shù)大型網(wǎng)站才會避免這樣的問題。而互聯(lián)網(wǎng)網(wǎng)上的大多數(shù)網(wǎng)站都存在這樣的安全問題，哪怕是一些上規(guī)模的網(wǎng)站。

特別一些基于開源程序構(gòu)建的網(wǎng)站，幾乎都會暴露后臺登錄地址，比如WordPress的/wp-admin、discuz的/admin.php。但對安全要求很高的網(wǎng)站都會避免這些問題，比如美國白宮官網(wǎng)是基于WordPress構(gòu)建的，但是它訪問/wp-admin就會報錯，也就是隱藏了真實(shí)的后臺登錄地址頁面。

舉例：?用戶信息明文提交問題

這個問題除了最新的標(biāo)準(zhǔn)產(chǎn)品以及以前安全需求比較高的自研網(wǎng)站，一般都存在。如下是某知名網(wǎng)站用戶登錄數(shù)據(jù)提交，就是明文的。

這樣明文提交有什么問題呢？就是用戶在客戶端（瀏覽器）提交用戶名密碼會通過網(wǎng)絡(luò)明文傳輸?shù)骄W(wǎng)站服務(wù)器，在這個過程中請求的數(shù)據(jù)包如果被攻擊者獲取，這樣用戶的用戶名和密碼等敏感信息就被攻擊者獲取，理論上講肯定是是存在安全問題的。所以現(xiàn)在越來越多的網(wǎng)站開始使用https協(xié)議進(jìn)行客戶端與服務(wù)端數(shù)據(jù)傳輸，其中作用之一也是解決類似這樣的問題。

實(shí)際上一些較大型網(wǎng)站或者對安全標(biāo)準(zhǔn)要求較高的網(wǎng)站都不會這樣直接明文提交與傳送，至少是密碼部分加密處理的，比如下面是百度主站用戶登錄信息提交（實(shí)際上我輸入的登錄密碼是123456），被加密成一串沒有規(guī)律的字符。

目前越來越多的體制內(nèi)單位被要求安全整改，其中最典型的就是上面兩個例子這樣的安全漏洞。比如湖南省的高校，湖南大學(xué)和中南大學(xué)主站就已經(jīng)使用了上述用戶信息加密提交和傳輸?shù)姆绞?，而也有一部分學(xué)校并沒有，估計(jì)后續(xù)都會全部跟進(jìn)整改。

網(wǎng)信辦等主管部門提出這樣的要求，筆者認(rèn)為是非常有必要的，對于我們這種堅(jiān)持定制開發(fā)的服務(wù)商也是利好的。因?yàn)槲覀冏龅膽?yīng)用程序都是我們自己開發(fā)的（當(dāng)然可能會使用一些成熟的開發(fā)框架之類的），但這些即便存在安全漏洞我們是完全有能力進(jìn)行修復(fù)的。影響最大的或許就是那些使用盜版源代碼的單位或者個人，因?yàn)榧幢愀嬷嬖谀切﹚eb應(yīng)用層面的安全漏洞他也不知道如何去修復(fù)。比如上面舉例的兩個安全漏洞，對于自研產(chǎn)品來講修復(fù)優(yōu)化是沒有任何技術(shù)難度的，當(dāng)然需要花一點(diǎn)點(diǎn)時間。

最大的利好者，還是千萬網(wǎng)民，這樣網(wǎng)絡(luò)上就會減少很多不良信息。比如現(xiàn)在，很多普通用戶經(jīng)常需要訪問的網(wǎng)站，結(jié)果用戶打開進(jìn)去是一些不堪入目的東西，尷尬的要命。其實(shí)這些不良信息并不是網(wǎng)站運(yùn)營方弄的，而是網(wǎng)站存在嚴(yán)重的安全漏洞被黑產(chǎn)利用進(jìn)行掛馬之類的操作。