服务热线:0754 - 88943210
  • 0

广东省公安厅“安网2016”网络安全专项治理行动第十期通报

色色手机认证状态 发表于 2016-9-8 16:43:15 | 显示全部楼层 |阅读模式
21175 0

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区

您需要 登录 才可以下载或查看,没有账号?注册河畔 |

x
广东省公安厅“安网2016”网络安全专项治理行动第十期通报
“安网2016”网络安全专项治理行动开展第十周以来,共计发现98处安全隐患,已全部通报相关行业和单位整改,及时修补漏洞。在这些网站中,从危害程度来看,高危漏洞48个,占总比重的49%;从风险类别来看,XSS注入、SQL注入、信息泄露类漏洞是主要隐患类型,占总类别的85.7%;从行业类型来看,法院系统、医疗卫生、事业单位是隐患多发的主体,占总行业77.5%。
  一、部分法院的信息系统存在严重安全漏洞。
  在本期检测中,发现5家法院单位的信息系统网站存在高危安全漏洞。这些系统和网站使用的建站框架是同一家公司开发的业务管理系统,管理系统的后台登录页面存在同一高危漏洞。以某市人民法院为例,通过该系统漏洞可轻易从后台得到管理员密码,得到该单位不同科室的账号密码近百个。利用管理员账号成功登录系统后,发现该网站曾被黑客攻击入侵并篡改页面情况。法院的信息系统一旦被不法分子入侵成功,可能会发布虚假信息或篡改重要信息,必然产生严重危害。目前,黑客的入侵攻击行为正在进一步调查中。
  二、部分政务服务网站存在安全漏洞。
  本期对地市的政务服务网站进行重点监控,结果发现15个政务服务类网站存在不同程度的安全隐患。如某市国土资源网站,存在严重的高危漏洞,利用该漏洞攻击者可获取网站所有用户登录账号和密码。某市的社工网站,可利用高危漏洞直接执行命令添加新用户登录服务器后台,系统的用户信息存在极大泄露风险。这些政务服务类网站与公民权益息息相关,一旦被不法分子入侵,系统数据遭到非法篡改,将给民众的隐私财产安全带来一定的威胁。
  三、某市中考题库管理系统存在高危漏洞。
  本期对省内各类教育系统进行了深入排查,结果发现某市中考题库管理系统存在着隐患严重的高危漏洞。该漏洞利用可执行命令实现对服务器进一步的入侵,一旦攻击者得逞,极有可能造成考题泄密的严重后果。近年来,全国已发生多起考题泄密事件,造成恶劣影响,严重影响了考试制度的公平选拔目的。因此,建议相关单位提高警惕,防范于未然,加强对题库系统的保护,积极排查隐患,及时修补漏洞,不给不法分子可乘之机。
  四、某民航客户资料录入系统存在漏洞。
  本期还检测发现省内某民航客户资料录入系统存在漏洞隐患。利用该漏洞可以直接通过万能密码绕过登录验证,并通过客户信息查询功能中获取所有客户个人详细信息。此外,该漏洞还可能导致攻击者获得服务器权限,除造成用户信息被窃取、篡改和删除等后果外,还能瘫痪服务器致使系统无法正常运转。民航信息系统的数据量非常庞大,用户资料详实,攻击者将窃取用以倒卖或非法使用,希望有关部门高度重视,尽早修复。
  五、工作建议。
  本期的检测排查,发现我省法院系统、政务服务、考试题库和民航系统等网站或信息系统存在较多的网络安全隐患。公安机关建议:一是建立安全排查与漏洞修补的联动机制,一旦发现高危漏洞,即时启动联动机制,对高危漏洞进行针对性研究,尽早采取修补、完善等根除措施,杜绝隐患;二是针对系统使用软件存在高危漏洞的隐患,建议广大网站管理员尽快将软件升级到最新的版本,以有效保护服务器安全,保障数据信息安全。而针对服务器权限获取的高危漏洞,建议在代码层面上进行修改,严格过滤用户非法输入,并加强后台上传限制,有效保护服务器安全和数据信息安全。三是对于不能进行补丁修复的单位,建议部署下一代防火墙产品进行安全防护。

蓝色河畔 hepan.com - 汕头门户网欢迎你!
回复

使用道具 举报

全部回复(0)
您需要登录后才可以回帖 登录 | 注册河畔 |

关于我们|帮助中心|法律声明|诚聘英才|联系我们|手机版|小黑屋|Archiver|APP下载|

Copyright © 2002-2023, Hepan.com Cloud.    Powered by hepan.com Discuz!X3.4    粤B2-20080418 粤ICP备11103827号

违法和不良信息举报电话:0754-88943210 举报邮箱:help@hepan.com 粤公网安备 44050702000900号

GMT+8, 2024-12-22 22:28