某国家大型考试网站安全漏洞测试 （三）

MITM型

其实这种类型的攻击，一般在无线领域比较多，毕竟无线属于共享型媒体，所有数据只要你起个基站去锁各种频道就能监听。那现在问题来了，无线环境的MITM其实就跟我们的暗算那个神耳一样，只不过我们这里的频段是固定的不需要去扫频。也就是说，所有发送的数据包都是可见状态，那无线环境的加密就比较重要了。但是也没什么用，暗算电视剧里面加密过的电文还是一样会被截获破解，现实的无线环境更容易，我们通过自己的伪站去获取数据包，然后再转发至服务端，那这样的过程对服务器和客户端都是透明的。我们如何在服务端识别客户端发来的信息就是真实客户端发来的信息呢？这个目前好像没啥能有效识别的方法，所以MITM无线型的防御也基本属于白搭，只能说道高一尺，魔高一丈。这个项目也没准备对通过手机登录网站的用户做安全防范，所以我也就没在这块花时间。

这里顺便鄙视一下绿X之类的什么安全扫描，你说没用吧，有一点点用，有用吧，其实也没啥用。反到是ZF某些部门，对信息安全检查流于形式，外包给水的不能再水的一些安全公司，然后这些水公司用一些水的不能再水的软件，扫出一份水的不能再水的安全报告，几百页报告都在扯淡。然后下发给下级单位说整改，什么业绩啦，政绩啦，成绩啦就都有了。至于下级单位怎么改，怎么防，一概不管。然后这些水的不能再水的安全公司又去找下级单位，给他们出解决方案啊，更新啊，维护啊。哎，实在不想说了。

最终总结： Web 前端的安全防御主要还是在于程序员自身的水平问题，因为地址是程序员放出去的，功能是程序员放出去的，放出去之后会有什么样的效果，坏人会怎么用，程序员要怎么防这些都是要原始的创造者考虑的。如果只是觉得地址放出去，功能放出去就万事大吉了，那就要出大事。所以，外包的项目，还是多多伺候好这些干活儿的人吧，玩命儿加班，剥削程序员的休息时间只会对项目的推进起到反作用，所以我的项目从来不加班，除非明天正式对外发布新版本，今天发现问题没搞定。除此以外，一概不加班。