01月 14, 2013

搜狗浏览器曝存重大安全漏洞,数万网站后台地址被搜狗收录

现在各在互联网公司的大佬们都在拼命的抢占客户端,以强暴或诱导的方式向网民的电脑上装各种各样的客户端以占领互联网流量入口,由于大多数网民互联网基础知识薄弱也向来是逆来顺受,你引导安装了什么就使用什么,客户端越多网民的电脑也就越慢,电脑硬件配置一直升级但电脑操作却仍然很慢,这就是客户端插件在作怪,同时客户端越多不安全因素也就越多,2011年12月7日消息,360公司就通过弹窗向用户提示搜狗浏览器存在0day高危漏洞,建议用户对浏览器进行升级处理。本以为搜狗浏览器会加强安全管理,没有想到搜狗浏览器或搜狗输入法为增加搜狗收录量,竟然偷偷上传网民隐私信息,数万网站后台地址被搜狗收录。小编用admin作为账号与密码随机测试了几十个网站后台,竟然能成功登录一个网站后台,这个漏洞如果被黑客利用字典暴力破解来登录,后果不堪设想。

搜狗收录部分网站后台地址如图所示:

 

网友投诉发现后台地址被收录

上周四下午,小编接到网站用户投诉,说为什么在搜狗里面搜索我们网站名字的时候为什么出来的是一个网站后台地址而不是网站首页,是否我们网站存在什么问题?按照用户的提示我打开搜狗搜索引擎,输入网站名,在第一页果然出现了网站后台地址而不是网站首页,搜狗你丫的你在搞什么鬼,网站首页每天更新你不收录,后台地址就一个登录框而且路径复杂你却能收录,这是怎么回事呢?事关重大,马上报告经理,经理招集技术开会讨论后台地址被收录的原因得出可能是因为公司文员使用了搜狗的浏览器导致的。因为后台地址涉及到网站安全问题不可能向搜索引擎提交去收录,而且同样的后台地址谷歌、百度、搜搜、360搜索、必应、有道、即刻都没有收录只有搜狗收录了,看来问题在搜狗身上,搜狗之所以能收录并不是因为搜狗技术强大而可能是因为使用了搜狗浏览器,当你使用搜狗浏览器打开所有网页的时候,可能搜狗浏览器便将网站地址提交给搜狗,这就是为什么搜狗能收录大量网站后台地址的原因。小编觉得此事事关重大,马上向张朝阳发短信、发邮件报告此事。不过没有得到任何回音。小编希望借此文章来提醒广大站长及网站管理员重视网站安全问题,搜索自己网站后台地址是否也在搜狗上面泄露,如果你在使用搜狗浏览器建议升级到最新版本或改用其它浏览器。

 如果你网站后台地址已经被泄露或你曾经使用过搜狗浏览器需要做以下准备:

1、暂时停用搜狗浏览器或删除搜狗浏览器等搜狗浏览器升级后再安全最新版本。

2、如果后台已经被收录,通过搜狗快照投诉,让搜狗删除后台地址的收录。

3、修改网站后台地址,网站后台地址要尽量多文件夹,而且文件名要复杂不能轻易让别人猜到。

4、通过tobots.txt设置后台文件夹禁止被收录。

5、网站管理员要养成良好的习惯,定期更改网站后台、用户名、密码,用户名与密码也要尽量复杂,最好数字+大小写字母+其它符号。

6、如果网站有自有技术人员可以考虑为网站后台登录框加验证码及认证码或指定IP段登录,这样即便黑客知道了你网站地址也无法破解。

本文由无忧招聘系统(www.zhaopinxitong.com)发布,欢迎广大站长转发以便更多站长知道这个漏洞并及时做出处理,转载请注明出处,谢谢!