飞虫博客说到服务器的安全性,不得不说政府一类的网站是重灾区,多数情况是由于政府机构的服务器维护人员水平有限、技术一般(不排除有高手),更有甚者,即使发现服务器被入侵,但由于没有造成太恶劣的影响,也就睁一只眼闭一只眼。
很多地方的网络安全负责部门(例如公安局网监支队)会不定期的请一些专门做网络安全的公司来扫描政府部门的服务器,给出安全报告,然后下发给各服务器所属的部门负责人进行整改,这原本是件好事情,但遇到一些不靠谱的“安全”公司就很尴尬了。
说他们不靠谱,并不是否定他们的技术,毕竟没有深度接触过安全领域,没有发言权,但好歹我也是个程序猿,最起码的安全常识还是有的。最近有两个朋友拿着像一本书一样的信息安全报告和一份整改通知书找我帮忙,分别是两个不同的事业单位。
我拿着“报告”从头看到尾,也没发现什么漏洞啊、潜在的安全隐患啊之类的东西,但是报告上明确写着“信息泄露”、“Email地址泄露”,而且还注明了有多少行,多少条,写的有模有样,给外行的人一看感觉就像是被扒光了衣服站在大街上一样。但实际上呢,随便打开一个所谓的“信息泄露”的网址一看,就是普通的文章页,随便打开一个所谓的Email地址泄露页面,就是公开的用于报名、投诉或者咨询用的邮件地址。
假设这些安全公司的技术人员不懂技术,那么… … ,这种假设应该不成立,毕竟政府找的公司都是有一定客户案例,手续和资质齐全的。但是为什么能把这种根本就不属于安全隐患的东西写上去呢?我想,应该是这样:
有人出钱请你做安全扫描,该怎么收费呢,肯定是按服务器数量和扫描出的“问题”综合评估吧!那么问题来了,如果这些服务器大多数都没有问题(我是假设),该怎么收费呢?是不是就没有充分的理由抬高价格了,或者是给需求方一种技术一般的印象,下次就不找你了……
我想,大致总是有些上面的原因吧,人家花钱做了这件事,总要有些“效果”,你拿了别人的银子,总得有些“成果”。安全这件事,是很重要,也不是说所有安全公司都有这样的潜规则,毕竟我以前遇到过扫描出很多弱口令、XSS、还有备份文件在可访问目录下等案例。但是,靠忽悠的本领做事不是长久之计,奉劝那些所谓的“安全公司”,请自重!
