51CTO首屆中國APP創新評選大賽正在招募>>

“安網2016”網絡安全專項治理行動開展第十、十一周(2016年2月29日至2016年3月13日)以來，共計發現98處安全隱患，已全部通報相關行業和單位整改，及時修補漏洞。在這些網站中，從危害程度來看，高危漏洞48個，占總比重的49%;從風險類別來看，XSS注入、SQL注入、信息泄露類漏洞是主要隱患類型，占總類別的85.7%;從行業類型來看，法院系統、醫療衛生、事業單位是隱患多發的主體，占總行業77.5%。

一、 部分法院的信息系統存在嚴重安全漏洞

在本期檢測中，發現5家法院單位的信息系統網站存在高危安全漏洞。這些系統和網站使用的建站框架是同一家公司開發的業務管理系統，管理系統的后臺登錄頁面存在同一高危漏洞。以某市人民法院為例，通過該系統漏洞可輕易從后臺得到管理員密碼，得到該單位不同科室的賬號密碼近百個。利用管理員賬號成功登錄系統后，發現該網站曾被黑客攻擊入侵并篡改頁面情況。法院的信息系統一旦被不法分子入侵成功，可能會發布虛假信息或篡改重要信息，必然產生嚴重危害。目前，黑客的入侵攻擊行為正在進一步調查中。

二、部分政務服務網站存在安全漏洞

本期對地市的政務服務網站進行重點監控，結果發現15個政務服務類網站存在不同程度的安全隱患。如某市國土資源網站，存在嚴重的高危漏洞，利用該漏洞攻擊者可獲取網站所有用戶登錄賬號和密碼。某市的社工網站，可利用高危漏洞直接執行命令添加新用戶登錄服務器后臺，系統的用戶信息存在極大泄露風險。這些政務服務類網站與公民權益息息相關，一旦被不法分子入侵，系統數據遭到非法篡改，將給民眾的隱私財產安全帶來一定的威脅。

三、某市中考題庫管理系統存在高危漏洞

本期對省內各類教育系統進行了深入排查，結果發現某市中考題庫管理系統存在著隱患嚴重的高危漏洞。該漏洞利用可執行命令實現對服務器進一步的入侵，一旦攻擊者得逞，極有可能造成考題泄密的嚴重后果。近年來，全國已發生多起考題泄密事件，造成惡劣影響，嚴重影響了考試制度的公平選拔目的。因此，建議相關單位提高警惕，防范于未然，加強對題庫系統的保護，積極排查隱患，及時修補漏洞，不給不法分子可乘之機。

四、某民航客戶資料錄入系統存在漏洞

本期還檢測發現省內某民航客戶資料錄入系統存在漏洞隱患。利用該漏洞可以直接通過萬能密碼繞過登錄驗證，并通過客戶信息查詢功能中獲取所有客戶個人詳細信息。此外，該漏洞還可能導致攻擊者獲得服務器權限，除造成用戶信息被竊取、篡改和刪除等后果外，還能癱瘓服務器致使系統無法正常運轉。民航信息系統的數據量非常龐大，用戶資料詳實，攻擊者將竊取用以倒賣或非法使用，希望有關部門高度重視，盡早修復。

五、工作建議。

本期的檢測排查，發現我省法院系統、政務服務、考試題庫和民航系統等網站或信息系統存在較多的網絡安全隱患。公安機關建議：一是建立安全排查與漏洞修補的聯動機制，一旦發現高危漏洞，即時啟動聯動機制，對高危漏洞進行針對性研究，盡早采取修補、完善等根除措施，杜絕隱患;二是針對系統使用軟件存在高危漏洞的隱患，建議廣大網站管理員盡快將軟件升級到最新的版本，以有效保護服務器安全，保障數據信息安全。而針對服務器權限獲取的高危漏洞，建議在代碼層面上進行修改，嚴格過濾用戶非法輸入，并加強后臺上傳限制，有效保護服務器安全和數據信息安全。三是對于不能進行補丁修復的單位，建議部署下一代防火墻產品進行安全防護。

【編輯推薦】