东欧黑客利用SQL注入漏洞成功攻破英议会官网

近日一位绰号 "Unu" 的罗马尼亚 黑客 在自己的博客上披露，他发现英国议会的官方网站上存在 SQL 注入 漏洞，而这些漏洞则暴露了很多机密信息，包括未加密 的登录证书等。利用这种漏洞，他宣称只要在浏览器中的网页地址后面加上数据库指令，就可以从网站后台服务器上窃取到有关的机密数据。更糟糕的是，当局对该网页漏洞的防范意识和反应速度都很难令人满意。

　　这次事件至少反映出该网站的两个重大问题，首先是存有 SQL 注入 攻击漏洞，而且也没有对机密数据进行加密处理，而是采用明文的方式进行保存 ; 另外，网站帐户的密码本身也存在不少漏洞，这些密码都比较容易被猜测出来。其中一个用户名为 “fulera” 的帐户，据猜测是 Alex Fuller 的帐户，此人目前是英国议会官网的高级网页制作人员。

　　不过目前我们还不清楚这次泄密的严重程度，这些帐户和密码也许已经被弃用了数周乃至数月之久。而我们周二联系到的议会官员则表示会对这起事件进行一些调查，然后才会告知我们有关的调查结果。

　　不论如何，这起事件的发生无疑反映出英国议会官网的安全防范意识非常薄弱。两周前，媒体已经报道了有 黑客 利用同样的 SQL 注入漏洞攻击 美国一些官方网站的消息，而这些事件显然未引起他们足够的重视。

　　更糟糕的是，漏洞被攻破后的 48 小时内， Unu 本人， Softpedia 网站以及 Register 网站已经通过留言，发文以及电话等多种形式对有关方面进行了警告，而该漏洞直到周二晚却一直没有得到修补。

 

中数博阳评论：英帝的政府网站和我天朝也没啥区别嘛，好容易就被黑了。。。