※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2014-01-08 01:09:10
看板 Gossiping
作者 標題 [新聞] 政院找人當駭客 抓出108漏洞
時間 Sat Jan 4 12:17:53 2014
行政院近日舉行資安實兵演練,從國安局、調查局及各大學徵召網路高手,
一同組成「駭客部隊」,實際攻擊行政院旗下33個二級部會網站。
結果發現,多數機關最常犯的毛病是網頁未做好權限控制,
也有不少「好奇寶寶」公務員,喜歡開啟不明郵件。
官員說,演練結果顯示,政府網站資安管理還算及格,但仍有一些缺點要改進。
在這項測試中,33個機關有25個機關共67個網站或系統,存在108個弱點,
最大宗風險主要是,網頁未做好權限控制,可能造成機密敏感資訊外洩,
及網站未過濾特殊字元,導致攻擊者在沒有帳號密碼下,
最大宗風險主要是,網頁未做好權限控制,可能造成機密敏感資訊外洩,
及網站未過濾特殊字元,導致攻擊者在沒有帳號密碼下,
仍可繞過驗證登入進而操作系統。
行政院長江宜樺昨天聽取「2013年網路攻防演練辦理報告」,這是政府首度大規模舉辦,
也是國內少見的大型網路攻防實戰演練。演練時間是在去年11至12月,
目的是找出政府資安漏洞外,也盼培養各機關在面對網路攻擊時的應變能力。
政院官員表示,這場演練所費不貲,花了快一年時間準備。在演練過程中,
來自官方與民間的30位網路好手組成「攻擊組」,
政院所屬的33個二級部會則是「防禦組」,在攻防過程中,
還有「裁判組」從旁確認,攻防兩造都是照著遊戲規則走。
官員說,為徹底找出各機關網站弱點,這回不採模擬情境,
還有「裁判組」從旁確認,攻防兩造都是照著遊戲規則走。
官員說,為徹底找出各機關網站弱點,這回不採模擬情境,
而是直接連上各機關網站實際攻擊。為避免造成無法修復或難以掌控的後遺症,
所有攻擊手走過的路徑都會被記錄,且攻擊手均點到為止,只留下「到此一遊」痕跡,
不會有狠毒的破壞。
行政院本次演練項目有三,一是情境演練,讓各機關熟悉面對網路攻擊時,
可採取的標準作業程序;二是實兵演練,即真正的攻防;三是社交工程郵件演練,
即隨機寄發引人注目,但內容可能含有惡意程式的電子郵件給各機關,
測試機關人員的資安意識。
全文網址: 政院找人當駭客 抓出108漏洞 | 綜合 | 國內要聞 | 聯合新聞網
http://udn.com/NEWS/NATIONAL/NAT5/8400784.shtml#ixzz2pOp8vLjZ
政院找人當駭客 抓出108漏洞 | 綜合 | 國內要聞 | 聯合新聞網
![[圖]]()
行政院近日舉行資安實兵演練,從國安局、調查局及各大學徵召網路高手,一同組成「駭客部隊」,實際攻擊行政院旗下33個二級部會網站。結果發現,多數機關最常犯的毛病是網頁未做好權限控制,也有不少「好奇寶寶」公務員,喜歡開啟不明郵件。官員說,演練結果顯示,政府網站資安管理還算及格,但仍有一些缺點要改進。在這項測試中,33個機關有25個機關共67個網站或系統,存在108個弱點,最大宗風險主要是,網頁未做好權限控制,可能造成機密敏感資訊外洩,及網站未過濾特殊字元,導致攻擊者在沒有帳號密碼下,仍可繞過驗證登入進而操作系統。 ...
![[圖]](http://udn.com/NEWS/MEDIA/8400784-3305383.gif)
心得:
希望好好駭一下中選會網站
把中選會的漏洞在選前盡量抓出來
不然一個駭客就可以改變選舉結果
候選人花那麼多錢競選
人民花那麼多時間參與投票
都白費了
說實在的 計票方式 應該改成手動 一票一票計 不花多少錢
(真的需要人力 我想鄉民都願意報名)
現在手機隨便都會被駭 駭客到處都是
法院 考選部等等政府機關電腦都很落伍 資安工作也差
公平性都很受質疑
希望政府好好加油 把影響政府公平性的駭客都抓出來
我們人民就是靠政府了 打造一個公平正義的真實世界吧
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 1.164.19.4
噓 : 中華電信機房 搞不好就是毒窟1F 01/04 12:18
推 :又在兵推了2F 01/04 12:19
→ :靠(依賴)政府 X 靠(悲)政府 OOO3F 01/04 12:19
→ :真正駭客誰會想出現在你官方面前4F 01/04 12:19
推 :才108?駭客應該有"案扛"5F 01/04 12:31
推 :該停電了 抽菸就是訊號6F 01/04 12:46
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 194
回列表(←)
分享