广东网警发布“安网2016”第九期周报
“安网2016”网络安全专项治理行动开展第九周(2016年2月22日至2016年2月28日),本期共计发现58处安全隐患。通过对这些安全隐患进行采集、分析和整理,从危害程度来看,在这些网站中高危漏洞34个,占总比重的70.4%;从风险类别来看,XSS注入、SQL注入、命令执行类漏洞是主要隐患类型,占总类别的91.4%;从行业类型来看,企业、医疗卫生、事业单位是隐患多发的主体,占总行业93.1%。
一、某企业销售信息系统存在高风险漏洞
在本周检测中,发现总部位于广东的某国内著名时尚内衣品牌的销售信息系统存在高风险漏洞,利用该漏洞可获取管理员权限,查看其在全国范围内上万销售点的财务信息和销售订单详细信息。攻击者利用该漏洞还可修改、新增订单,篡改财务信息,不仅对公司正常运营造成恶劣影响,还将产生网络诈骗等危害社会公众利益的违法犯罪问题。鉴于该公司在全国范围已有上千家专卖店,销售系统内用户信息和财务信息等数据量巨大,面临盗取、丢失、篡改等高危风险极大,提升系统安全防范能力刻不容缓。请企业高度重视信息系统安全,立即修补漏洞,并定时维护检查更新,杜绝信息安全隐患(由于发布面向社会,建议括号里加一句“已责令整改”之类的话,免得引成对公安工作的负责影响)。
二、弱口令造成的系统安全问题依旧严峻
在本周检测中,发现广东省某市金融信息系统的密码存在弱口令风险(弱口令即密码设置过于简单,极容易被入侵者破解,从而能够轻易获得账户信息),系统里六百多个账号和密码存在泄露风险,将导致账户信息泄露、窃取等威胁,必须及时将弱口令修正为强口令,消除安全隐患。“安网2016”网络安全专项治理行动以来,排查发现,政府机关、金融机构、教育系统、交通系统等各个行业频繁出现弱口令问题,致使上千万数据面临泄露风险,可能导致用户个人信息和企业机密数据被不法分子窃取。弱口令是最常见的安全问题之一,也是最容易解决的,归根结底还是运营主管部门和管理人员对数据安全不够重视引起。
三、工作建议
通过本期的检测排查,发现我省企业、医疗卫生、事业单位等网站或信息系统存在较多的网络安全隐患,同时弱口令造成的系统安全问题依旧严峻。公安机关建议:一是企业要高度重视信息系统安全,及时修补漏洞,定时维护检查更新,杜绝信息系统安全隐患。二是对于不能进行源代码修复的单位,建议及时部署网络安全防护设备,积极咨询网络安全专家,对网站进行全方位的检测和修复。三是对于系统存在弱口令的问题,建议进行详细排查,逐步消除弱口令,有效减少攻击者破解口令的发生率。
(平安南粤网 编辑:雨寒)