去年有報道稱，美軍收購軟件漏洞為網戰準備。而美軍自己的網站和服務器究竟又有多安全?一名獨立安全研究者已經發現了美軍網站的幾個較為嚴重的安全漏洞。

[[162529]]

安全專家稱，這些漏洞說明了美國防部網絡安全基礎的脆弱性，攻擊這些軍方公共站點以及職員門戶要比進入五角大樓容易得多。

美軍網站驚現SQL注入漏洞

漏洞發現者研究者名為MLT，他表示在美軍國防合同管理局(DCMA)網站子域中，存在嚴重漏洞。攻擊者可以利用該漏洞泄露國防部(DoD)雇員的個人信息，其中包括姓名、住址等。

盡管MLT并沒有對漏洞進行利用，他仍擺出了一些數據作證攻擊者能夠盜取敏感的個人信息。

“在沒有真正利用漏洞前，我無法對此進行確定。但是，從列表的名稱和全網的官方警示來看，這些頁面是不該存在SQL注入漏洞。”

SQL注入漏洞作為Web中最常見的安全漏洞之一，允許攻擊者對通過經惡意SQL語句注入正常網頁從數據庫中盜取敏感信息。盡管這是個骨灰級漏洞，而Web開發者理應極力避免，仍有不計其數的站點受此漏洞影響，并造成重大數據泄露事故。而此次軍方網站竟存在SQL注入這樣的漏洞，實在令人唏噓。

一名安全從業者Jim Manico稱：

“攻擊者能夠利用這個漏洞盜取數據庫中的全部數據。這很糟糕。”

而MLT所擔憂的還有攻擊者可能會利用這個漏洞獲取DoD雇員的信息，從而進行攻擊，不論是在網絡層面還是現實生活中。

“如果一些黑帽子發現了這個漏洞并加以利用，那么他們現在就擁有了一大批DoD雇員的個人信息。從網站首頁那些警告的語言，我真心希望他們把網站的安全當作一件嚴肅的事情來考慮了。”

不止SQL注入，還有其他多個漏洞

據MLT透露這個SQL注入漏洞已于一周前被修復，而最近他又發現了幾個其他漏洞。他在周一發布的一篇博客中進行了詳細介紹。

其中一個漏洞，通過在瀏覽器URL欄中輸入幾行字符串任何人都可以進入美國陸軍的一個服務器。MLT還發現了一個登錄另一軍方網站的明文憑證列表，其中一個密碼為“msecretpassword”。

研究者還發現了十幾個XSS漏洞，這在網絡上也是很常見的。實際上，據Web安全公司WhiteHat安全估計，80%的網站都存在XSS漏洞。

考慮到美軍的足跡遍布Web空間，而仍在使用著有些過時的系統，因此受到的威脅遠遠超過了MLT的發現。

安全研究者Robert Hansen稱：

“這些漏洞確實讓每個美國人和美國的盟友感到非常緊張。”