“安网2016”网络安全专项治理行动开展第四周(2016年1月4日至2016年1月10日),共扫描检测全省重点网站及重要信息系统83个,发现安全隐患73处,其中高危漏洞68个,占比93.2%;从风险类别看,信息泄露、XSS注入、SQL注入类漏洞是主要隐患类型,占比81.9%。教育、事业单位安全问题突出,占比91.6%。
一、教育类网站安全问题突出,44家教育类网站存安全风险
教育类网站为本周排查重点,此类网站被发现存在严重安全隐患。排查发现,省内至少有44家教育类网站存在安全风险,这些网站中包括广东省某大学、某市某职业技术学院、某市管理职业学校、某大学某学院、某艺术学校、某市文化技术学校等校园门户网站。
这些网站普遍存在SQL注入、XSS注入、代码执行、信息泄露等高危风险。攻击者可以利用漏洞直接对网站进行攻击,获取管理员权限,窃取隐私信息。例如:某市文化技术学校门户网站,该网站存在严重的SQL注入漏洞,攻击者可以利用该漏洞,获取网站权限,并通过工具注入得到数据库中考生信息。
二、某青年网站存在高危漏洞,70万条用户信息可被泄露
本周排查发现,省内某青年网站存在多个高危漏洞,利用这些高危漏洞可获取网站用户信息多达70万条,包含姓名、身份证号、联系方式、家庭住址等大量敏感信息,用户遍布全省各大学校、国有企业等1411家单位。
三、某交通单位网站存高危漏洞,大量公民信息有泄露风险
本周排查发现,某交通单位网站存在高危漏洞,导致数千万条公民个人隐私数据存在泄露风险。本次漏洞由弱口令和程序版本导致,建议相关单位立即更新和修改密码,落实安全责任,提高网络安全防护意识,规避数据泄露风险。
四、工作建议
通过本周的检测排查,发现教育、交通行业安全问题突出,可能对敏感文件、公民隐私、财产安全造成极大威胁。公安机关建议:一是定期组织对单位的系统进行全面技术扫描和渗透测试,及时修补安全漏洞,消除安全风险;二是养成良好的上网习惯,杜绝使用弱口令,避免在网站系统中使用重复密码,并定期修改;三是建立单位信息安全与信息化同步机制,在系统规划、建设、运维中同步落实信息安全保护措施,没有达到要求的信息系统和网站不得上线使用。