《中国教育网络》-高校招生网站渗透测试案例分析

高校招生网站渗透测试案例分析 诸葛建伟，魏克（作者单位：CCERT应急响应组） 每年高考招生前后，都是高校网站安全性最受关注的时候。由于访问量的大量增加，以及高招录取工作的敏感性，高校网站，尤其是招生网站，往往吸引着大量怀有恶意目的的攻击者，实施网站挂马、敏感信息窃取等非法行为。今年高考期间，就曾出现过北京、天津等地高考考生信息泄露并在网上公开叫卖的情况，虽然信息泄露渠道尚未有权威的认定，但这无疑已经为高招网站的网络安全防护敲响了警钟。虽然正式的高招录取工作一般都会在隔离的内网环境中进行操作，高考分数和录取信息的安全性还是值得信赖的。但各高校的高招网站仍承担着招生宣传、考生交流平台、录取信息公示等关键任务，而一旦高招网站的安全存在问题，被恶意攻击植入网页木马或钓鱼页面后，将会对考生的个人敏感信息构成泄露威胁。 为了能够对目前高招网站的安全状况和防护水平有一个更加实际的了解和掌握，中国教育与科研计算机网安全应急响应组（CCERT）在高招前夕对取得授权的3所高校的4个高招网站进行了全面深入的渗透测试，CCERT渗透测试小组对其中3所高校的3个高招网站都取得了不同程度的控制，其中1个网站已经遭遇“黑客潜伏”，实际渗透测试结果显示当前高招网站的安全形势仍然非常严峻，需要高校的网络安全管理部门与招生管理部门切实有效地落实网络安全防护责任、资源与措施，为广大考生建立起更令人放心的高招网站环境。 中国教育网络杂志全文PDF-高考招生网站渗透测试案例分析 COST论坛PPT：高考招生网站渗透测试案例分析