广东网警发布“安网2016”第十一期周报

19.04.2016  18:29

安网2016”网络安全专项治理行动开展至第十四周(2016年3月14日至2016年4月3日)以来,本期共计发现149处安全隐患,已全部通报相关行业和单位整改,及时修补漏洞。通过对这些安全隐患进行采集、分析和整理,从危害程度来看,在这些网站中高危漏洞100个,占总比重的67%;从风险类别来看,XSS注入、SQL注入、网页篡改类漏洞是主要隐患类型,占总类别的71.1%;从行业类型来看,政府部门、事业单位、金融证券行业是隐患多发的主体,占总行业71.8%。

一、建站系统自带安全隐患。 检测发现多家重点网站使用同一套建站系统进行建站,这套建站系统本身存在多种高危漏洞,以某市老年大学网站为例,攻击者利用其中一个高危漏洞可获取网站数据库所有内容,而通过另一个漏洞则可获取当前用户个人信息,利用其他高危漏洞则可读取网站系统内重要信息内容文件。建站系统本身存在众多安全隐患,容易被不法分子利用,相关单位要尽早开展自查并整改消除隐患。

二、某网络流量相关系统惊现高危漏洞。 检测发现某网络流量相关系统存在严重的安全漏洞,省内多家重点网站受影响。利用该漏洞,攻击者发送含有病毒的数据到服务器,便可成功上传破坏文件得到重要账号,使用重要账号登录该系统,可实时查看所有设备使用情况。检测还发现,个别网站已被黑客入侵。

三、某交通网站存高风险漏洞近二十万用户信息受威胁。 交通行业某重点网站是专业互联网立体交通资源整合系统,为省内多家交通运输单位提供机票、车票、船票、宾馆、景点门票的电子票务解决方案。该交通网站存在严重漏洞,不法分子可通过网站漏洞获取系统里近20万用户信息资料和用户票务订单详情,进而实施电信诈骗和网络诈骗。该网站是我省交通服务的核心网站,却未部署任何安全防护措施,一旦被不法分子攻击,将产生严重危害。网站运营使用单位要立即整改。

四、弱口令漏洞问题仍不可忽视。 本期检测发现某市气象部门、某市行业协会等至少4家单位的网站系统存在弱口令漏洞隐患。该漏洞可能会导致对服务器进一步入侵,使网站内部信息存在泄露风险。各个行业频繁出现弱口令问题,致使上千万数据面临泄露风险,容易造成公民个人信息和企业机密数据被不法分子窃取。弱口令是最常见的安全风险之一,导致出现弱口令的原因是管理不规范。希望各单位高度重视。

本期检测发现我省不少网站存在建站工具和网络流量相关系统自带隐患的问题,系统保存的大量用户个人信息仍面临保护不利的严峻形势,弱口令漏洞问题依然存在。公安机关建议:一是建立安全排查与漏洞修补的联动机制,在一旦发现相关单位存在高危漏洞之后,即时启动联动机制,对高危漏洞进行研究,并在短期内采取修补、完善等根除措施,早日杜绝隐患。二是针对网站部分高危漏洞,建议广大网站尽快安装第三方防护软件,以有效保护服务器安全,保障数据信息安全。三是对于不能进行补丁修复的单位,建议部署下一代防火墙产品进行安全防护。四是对于系统存在弱口令的问题,建议进行详细排查,逐步消除弱口令,有效减少攻击者破解口令的发生率。

(平安南粤网 编辑:雨寒)