电信部门的管理的软问题:记得2000年初接触到宽带，接宽带时那个电信人员说“宽带密码不存在安全问题，只有你的电话能用“，中国的宽带账户安全观念也在这种观念中成长，这样无形中养成宽带用户的安全意识匮乏，造就了中国的宽带成长中的先天不良。我就以这几天测试的某省的电信网上宽带收费网站为例子，谈谈这个问题:进入该网站后，找到计费业务版块。

　　各个模块负责如上图显示，这里就暴露了一个历史遗留问题:宽带用户的用户名密码容易被猜解问题: 一直以来电信出于管理方便角度，对用户名很多都以电话号码为基数，加上其他一些简易字母，后边加上诸如@163等的后缀，密码几乎都是电话号码,

　　用通式来表达: 帐户名:城市名称缩写(如 bj)+电话号码(如 12345678)+@+后缀(如 163) ,密码: 电话号码(注意:此处就是账户里的电话号码)也就是说只要知道某城市一个宽带账号 ，只需要略微更改下电话号码就可以猜到其他人的账号，帐户名及其他部分都无需改动，密码和电话号码一致。无论手动枚举还是软件实现都异常简单。这个网上营业厅另一个大问题也伴随而生:不是每个电话号码都办理了宽带，当你猜解账号错误时，它并不会采取什么安全策略，限制你输入次数，也就是说，可以无限枚举，而不会封掉你的ip。这个问题可以说威胁一个城市的所有宽带用户。猜解成功后，进入账号管理界面用户的上网拨号日志及其他资料会暴露隐私。

　　善于利用的破解者甚至可以利用分析日至避开账号所有者的使用时间而不会被发现:账号被猜解后，破解者可以在上图“修改密码“处修改密码，令账号的真正主人不能拨号。轻则别人用你的账号拨号，造成你短期不能拨号上网，重则造成你经济损失:为别人的网上消费支付金钱:如目前流行的在线影院，在线信息查询，在线充值，在线购物功能都可以通过宽带付费，种种在线业务都有个特点，那就是和电信挂钩:究其原因，最终被消费钱是需要电信中转的，往往最终体现在上网费上，目前国内宽带上网费和电话费是一起交的。当他人盗用你的账号消费不是很多情况下，你看到账单多出来的几块或者几十块钱时，你是很无奈的。想起一种现象:犯罪的“成本低“，成本低到受害者没法去告罪犯。而且即使你想告他，找到盗用你账号的人，并拿到证据，其中你的付出的时间和金钱也会令你望而却步，这既是法律的悲哀，更是人性的悲哀，奉劝那些走在犯罪边缘的人:勿以小恶而为之，抛开法律来说，你在盗得点滴利益的同时，你失去的不是单纯金钱可以衡量的。

　　问题到这似乎可以结束了，可更大的问题还在后边。像电信级的网站，管理后台入口应该十分隐蔽，对于一个动态网站来说，后台管理部分必不可少，由于后台涉及整个站点的安全，因此后台管理部分的入口要十分隐蔽，要采用一套独立前台的模块，采用专用的登陆界面。大型的网站或重要的程序要有很多不同分工的后台管理员来管理，因此每个管理员的管理权限范围和权限之间决不能互相影响。这也是非常重要的特性。这个网站设计就违反这个规则，猜了几次路径后，管理入口就被找到。(由于涉及敏感信息，路径不再给出)

　　,然后再根据这个路径，利用离线浏览软件WebSeizer，在WebSeizer的网页首选项设置为这个地址，再把和这个页面相关的所有网页下载下来，在下载层次设置为-1,这样和这个页面相关的所有页面都可以下载下来。这次的收获我非产吃惊，在一个新闻组模块里的admin.jsp.html网页里我找到了管理员密码，ftp密码，还有很多其他东西。

　　最后通过类似步骤，找到了8个各个模块的管理员帐号。由于计费系统及其他内容涉及法律问题，比较敏感，不在此叙述了。如果单纯是一个民间网站，我也不会多说什么，这毕竟是一个省级的计费系统。最后联系了相关的管理人员，得到回复是:“谢谢你的通知，我们会修补好相关漏洞,也没有再多解释什么。

　　喜欢找“肉鸡“的朋友如果细心的话会发现这么一个现象:扫描不同国家的同一个数量级的主机，能找到的“肉鸡“数量往往和国家对网络安全的重视程度成反比，1000个主机，中国可能找到100个肉鸡，可美国可能最多找到5个。这不能不给我们带来些思考，最后引用中国工程院院士、国家863计划专项研究专家组组长 何德全的话结束本文:没有信息安全，就没有完全意义上的国家安全，也没有真正的政治安全、军事安全和经济安全。…因此，要把我国的信息安全问题放在全球战略考虑，…”

(责任编辑：luwei)