51CTO首屆中國APP創(chuàng)新評選大賽正在招募>>

“安網2016”網絡安全專項治理行動開展第九周(2016年2月22日至2016年2月28日)，本期共計發(fā)現(xiàn)58處安全隱患。通過對這些安全隱患進行采集、分析和整理，從危害程度來看，在這些網站中高危漏洞34個，占總比重的70.4%;從風險類別來看，XSS注入、SQL注入、命令執(zhí)行類漏洞是主要隱患類型，占總類別的91.4%;從行業(yè)類型來看，企業(yè)、醫(yī)療衛(wèi)生、事業(yè)單位是隱患多發(fā)的主體，占總行業(yè)93.1%。

一、某企業(yè)銷售信息系統(tǒng)存在高風險漏洞

在本周檢測中，發(fā)現(xiàn)總部位于廣東的某國內著名時尚內衣品牌的銷售信息系統(tǒng)存在高風險漏洞，利用該漏洞可獲取管理員權限，查看其在全國范圍內上萬銷售點的財務信息和銷售訂單詳細信息。攻擊者利用該漏洞還可修改、新增訂單，篡改財務信息，不僅對公司正常運營造成惡劣影響，還將產生網絡詐騙等危害社會公眾利益的違法犯罪問題。鑒于該公司在全國范圍已有上千家專賣店，銷售系統(tǒng)內用戶信息和財務信息等數(shù)據(jù)量巨大，面臨盜取、丟失、篡改等高危風險極大，提升系統(tǒng)安全防范能力刻不容緩。公安機關已將情況通報該企業(yè)，呼吁企業(yè)高度重視信息系統(tǒng)安全，立即修補漏洞，并定時維護檢查更新，杜絕信息安全隱患。

二、弱口令造成的系統(tǒng)安全問題依舊嚴峻

在本周檢測中，警方發(fā)現(xiàn)廣東省某市金融信息系統(tǒng)的密碼存在弱口令風險(弱口令即密碼設置過于簡單，極容易被入侵者破解，從而能夠輕易獲得賬戶信息)，系統(tǒng)里六百多個賬號和密碼存在泄露風險，將導致賬戶信息泄露、竊取等威脅，必須及時將弱口令修正為強口令，消除安全隱患。

“安網2016”網絡安全專項治理行動以來，共排查發(fā)現(xiàn)，政府機關、金融機構、教育系統(tǒng)、交通系統(tǒng)等各個行業(yè)頻繁出現(xiàn)弱口令問題，致使上千萬數(shù)據(jù)面臨泄露風險，可能導致用戶個人信息和企業(yè)機密數(shù)據(jù)被不法分子竊取。弱口令是最常見的安全問題之一，也是最容易解決的，歸根結底還是運營主管部門和管理人員對數(shù)據(jù)安全不夠重視引起。

三、工作建議

通過本期的檢測排查，警方發(fā)現(xiàn)我省企業(yè)、醫(yī)療衛(wèi)生、事業(yè)單位等網站或信息系統(tǒng)存在較多的網絡安全隱患，同時弱口令造成的系統(tǒng)安全問題依舊嚴峻。

公安機關建議：一是企業(yè)要高度重視信息系統(tǒng)安全，及時修補漏洞，定時維護檢查更新，杜絕信息系統(tǒng)安全隱患。二是對于不能進行源代碼修復的單位，建議及時部署網絡安全防護設備，積極咨詢網絡安全專家，對網站進行全方位的檢測和修復。三是對于系統(tǒng)存在弱口令的問題，建議進行詳細排查，逐步消除弱口令，有效減少攻擊者破解口令的發(fā)生率。

【編輯推薦】