大学生入侵黑客事件解析

tina002

案件：一名风华正茂的大学生，在金钱和好奇心的驱使下，以他为主组成了一个9人制贩假证团伙，先后入侵全国数省市多个网站，修改相关数据200余个。他们办理的工程师、高级工程师、经济师等假证是可以从网站上查到个人信息的“真证”!
         前不久，济南市公安局网警支队接到某网站报警，发现网站的后台被黑客入侵，一些考试成绩不合格人员名单突然出现在成绩合格人员名单中，并且这些人拿到了相关的证书!网警支队侦查发现，有人制作出假证后，把假证人员的信息放到了网站上，假证变成了真证。大学生黑客朱某被民警抓获。
      记者：你是怎么入侵网站篡改数据的?
      朱某：有的网站后台存在漏洞，也没有进行数据加密，能轻易地进入，可以任意修改数据，很多网站存在安全隐患。
   该事件暴露出了数据库自身及管理上的几个漏洞：缺省端口号、缺省用户名，以及存在权限提升的漏洞。对此，业内人士进行了安全防护建议：使用加密技术对核心的敏感数据进行加密，同时引入三权分立机制，通过安全管理员控制对密文数据的访问权限，这样即使是利用了数据库的漏洞获取DBA权限，在没有被授予密文访问权限的情况下照样无法访问敏感数据。