“为了给家乡做点贡献” 男子入侵政府网站!!!
8月16日,记者从宁夏银川市公安局网安支队了解到,该支队主要侦办黑客攻击、组织考试作弊、侵犯公民个人信息等网络违法犯罪。今年以来,该队已成功侦办8起案件。近期,银川市公安局网安部门就成功侦办一起重大非法侵入计算机信息案。
(网络配图)
7月19日,某政府网站管理员向网安支队报警,该政府网络内局长信箱模块有网民多次发送非正常留言,后模块运行不正常,疑遭黑客攻击。
接警后,网安支队立即开展核查,发现有用户名为“ADMIN”、“ADMI”两个账号在该网站上进行注册后,表面上留言内容为“11111111”或者空白,但其实均隐藏着恶意代码。嫌疑人的行为已构成《刑法》二百八十五条非法侵入计算机信息系统罪。至此,网安支队确定该网站被黑客使用跨站脚本攻击(XSS)方式进行非法入侵。
办案民警介绍,该攻击方式可以秘密获取网站管理员使用电脑的浏览器权限,并绕过验证登陆后,可删改网站内容,并进行植入木马等后续提权操作等,进而可能造成非常严重后果。
(网络配图)
7月22日,网安支队将此案立为“7.22某政府门户网站被非法侵入计算机信息系统案”,市县两级网安部门抽调精干力量组成专案组开展联合侦查。
经查,嫌疑人真实身份为李培及其徒弟李木子,经过多方调查发现二人均在乌鲁木齐市。
在掌握嫌疑人犯罪事实以及住址后,专案组于7月25日派出抓捕小组赴新疆乌鲁木齐市进行抓捕,经过当地警方大力配合,于7月31日将两名嫌疑人成功抓获归案。
经审讯,李培供职于某网络科技公司,负责向运营商提供重要信息系统等级保护测评业务,工作中网络渗透测试的目标网站均获得官方授权,属于公司正常业务行为。
那么,李培为何会对银川市的政府网络实施黑客攻击呢?
原来,李培是银川人,最近,他利用休息时间,在未授权的情况下,对银川市的某政府网站进行渗透测试,他的目的就是为了找出网站漏洞并生成漏洞报告,然后上传CNVD(国家信息安全漏洞共享平台,由国家计算机网络应急技术处理协调中心运营),由CNVD下发各网站进行修补。
按照李培的说法,他这是为家乡做点贡献,在此之前,他还对包括石嘴山市多个政府网站及周边多个省、市政府网站进行攻击。可法律意识较为淡薄的李培并没有意识到自己的行为属于违法犯罪行为。
最终,两名嫌疑人对犯罪事实供认不讳,目前羁押在银川市看守所。
评论60次
这就是好心当了驴干肺,人家都交漏洞还要这样搞
JC这么大张旗鼓,就一个XSS而已。。。但他如能搞成如myspace那种XSS蠕虫JC这么做还可以
他不只试了xss勒提交cnvd需要在政府单位挂黑页和qq装逼?抓的就是他
未授权的攻击行为。不说警察和黑客,这管理员就是个傻帽。遇上这样的管理员,我们论坛99%的人得遭殃。
就弹了个窗而已,说什么可以获取网站管理员权限,植入木马等后续提权操作,人家也没做啊
所以我很想问一个问题,那以后还能不能向CNVD提交漏洞了?????给CNVD挖洞之前肯定是得不到被测单位的授权的,那相当于都是违法,那CNVD是不是该关门了
总觉得他还做了其他什么事,只不过没有报出来。只有一个XSS,也太无辜了吧。
在中国国内就这样,发现漏洞还是收藏比较好
他不只试了xss勒 提交cnvd需要在政府单位挂黑页和qq装逼?抓的就是他
这位兄台除了XSS,还有其他操作?
应该是弹窗一支干扰到正常xi统流程了啊,然后网站管理员也不懂就上报了
他不只试了xss勒 提交cnvd需要在政府单位挂黑页和qq装逼?抓的就是他
兄台一定是内部人士了
。。。。。。。
真的有够严格的!
学安全先学法律,顿时觉得有点慌
xss不是关键吧,关键弹的是政府网站啊,只要想抓,就有把柄
他不只试了xss勒 提交cnvd需要在政府单位挂黑页和qq装逼?抓的就是他
老哥,八卦下,他还挂了黑页啊?
就弹了个窗而已,反射的XSS用处有多大??
虽然是做的好事,但是用错方式也是不行的~长远考虑还是要先懂法,渗透之前要考虑好后果,成年人要为自己的行为负责
如今搞测试得谨慎啊,最好搞之前还是先看看相关法规。
这操作够傻的,法盲啊
我日,现在测试站要小心了。
一个xss就进去了,这个老哥,,,
说为家乡做贡献太扯了,想刷CNVD还是可能的,只是他大概没想到这回遇到较真的了。(政府站点留言信箱测试XSS,又不隐藏好痕迹,作得一手好死……) 自从2016年11月7日实施《中华人民共和国网络安全法》,就应该注意,毕竟情况和以前不同了。 很久之前就有人吼过非法渗透别碰政府站和教育站,只不过太多人不当回事儿。(很早之前看的外国人写得渗透测试书籍就特别说明过作合法的渗透测试时,必须严格按照合同要求来,不能越界测试。国内也有很多人都提醒过无数次了。) 不过我也比较好奇最后会怎么判。
看了看评论。 一半说是 活该,zf的都敢弄。 一半说是 杀人放火长命百岁,铺路修桥瞎眼烂腿 还有一半指桑骂槐。。。 我个人见解,这样的以后要具体分析,或者改改刑法,确实没有危害的,没有犯罪故意的,,可以减刑或者适用于缓刑。 安全公司根本照顾不过来这么多政府网站。 你网站有漏洞是事实,人家给你找到了,还提醒你了,也是事实。 非要等到间谍之类的,偷偷入侵了,过了几年后才发现,比较好吧。。。
政府网站都敢碰,分分钟搞死你