常言道某广电网络官方管理员密码全部泄漏

2023-09-15 21:18:57

1

安全通报某广电网络官方管理员密码全部泄漏

近日，国内知名信息安全预报站点通告某广电网络运营管理系统主页存在SQL注入漏洞，NGINX低版本解析漏洞，后台地址暴露，可获取系统登录权限，登录系统平台后，可进行“SQL注入”，进而威胁到整个网站后台数据及内网信息安全。其获取SQL注入证明如下：

2

安全预警远程攻击者可以绕过CiscoRV220W无线网安全防火墙的认证

Cisco Systems(思科系统公司)本周发布了新的一批安全补丁,针对对大量产品造成影响的漏洞,包括RV220W无线网安全防火墙上的一个关键漏洞。 RV220W漏洞源于发送到防火墙的基于Web的管理界面的HTTP请求输入验证不足。

这可能允许远程非授权用户在他们的文件头上发送带有SQL代码的HTTP请求,能够绕过目标设备的认证并给予攻击者管理权限。

Cisco已经修复了针对 RV220W设备的1.0.7.2固件版本上的漏洞。手动解决方法包括禁用远程管理功能或者限制在特定的IP地址。也修复了在Cisco Wide Area Application Service (WAAS) (思科广域应用服务)的设备和模块,Cisco Small Business 500 Series(思科中小型企业500系列)交换机和SG300管理交换机中的高和中等严重程度的拒绝服务漏洞。在基于Web的Cisco Unity Connection管理界面上的跨站点脚本漏洞也得以修复。

最后, 12个漏洞的补丁,在Network Time Foundation(网络时间基金会)于一月十九号固定了Network Time Protocol daemon (ntpd)(网络时间协议守护)的情况下。这些漏洞可以被攻击者利用来改动设备上的时间或者使ntpd(网络时间协议守护进程)崩溃。系统上有正确的时间对各种应用而言都是非常重要的,包括对安全性敏感的操作。NTP的缺陷可能影响了Cisco的70余种产品,用于协作和社交媒体,网络安全,路由和交换,统一计算和通信,流媒体和转码,无线和托管服务的产品。

公司已经针对它们中的一些和一系列受影响产品以及随着发布更多修复程序有可能更新的可用修复程序发布了固件更新。

3

应用安全Cisco Identity Services Engine未授权访问漏洞(CVE-2015-6317)

Cisco Identity Services Engine是集身份验证、授权和AAA、状态、设置文件和客户端管理为一体的访问控制解决方案。Cisco Identity Services Engine (ISE) 2.0之前版本对不同权限的管理员用户未正确过滤某些类型的Web资源，攻击者以低权限的帐户通过身份验证后，可以直接访问高级用户的Web资源。

Cisco已经为此发布了一个安全公告（cisco-sa-20160113-ise2）以及相应补丁: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20160113-ise2

4

安全建议网络安全体系设计原则

从目前了解的情况来看，国外在信息安全实验室的建设超过20年的经验，由一些IT厂商、科研机构采用独立建设或合作建设的模式发展而来，这些实验室的研究成果为信息技术的发展做出过巨大贡献。网络安全实验室作为现网模拟平台，其设计原则应当遵循以下几条：

（1）内部服务原则：网络安全体系的建设以及安全攻防人员的培养，首先是为了广电网络公司内部系统网络安全提供强有力的技术保障队伍，能够及时发现、追查系统平台所出现的安全事件，为系统运行的信息安全建设提供技术帮助和顾问级建议。

（2）多系统、多平台原则：由于广电网络公司系统的信息网络系统规模庞大而复杂，具有多系统、多平台的特征，并且网络安全建设不单是关注系统层面的安全，更要注意应用系统层面的安全，因此要建设符合安全需求的现网模拟环境，必须要在一定程度上满足企业的安全需求，在多系统、多平台的基础上，构造一定规模的应用系统平台，真阳的系统才能真正满足企业的需求。领带，攻防技术人员必须要很好地了解当前的主流安全产品，而目前各种安全产品也是针对不同的主流操作系统而设计的，所以也应当选择多种操作系统平台。

（3）多样性原则：网络安全建设涉及到传输层、网路欧层、系统层、应用层的众多技术和知识，安全测试体系中不仅要有系统和应用平台来模拟演练攻击者如何探测、监听、躲避和入侵，更要有各种网络安全设备，来对攻击行为告警、预防、跟踪、取证。所以无论是从打击网络犯罪、跟踪网络入侵者、对网络犯罪行为取证的角度考虑，还是从攻击和干扰非法者借助网络所进行的不利于企业网络安全的行为，都必须对各种网络设备、安全设备进行研究。

可扩展性原则：计算机与通信技术发展速度非常快，网络攻击与防御技术也在不断发展，新的攻击方式、新的防御技术和防御体系，都要求攻防实验室的网络平台、系统平台和应用平台具备一定的扩展能力。

免责声明：本文仅代表作者个人观点和看法，常话短说作为自媒体平台传播该文章，旨在传播信息和启迪思考之作用，不代表赞同或反对其立场，对文章内容不作任何保证或承诺，请读者自行核实相关内容的真实性和有效性。

随便看看