浙江省通信管理局關(guān)于增值電信企業(yè)重點(diǎn)網(wǎng)站安全防護(hù)工作第一階段檢查結(jié)果的通報(bào)
浙江省通信管理局關(guān)于增值電信企業(yè)重點(diǎn)網(wǎng)站安全防護(hù)工作第一階段檢查結(jié)果的通報(bào)
浙通信網(wǎng)安函〔2012〕108號(hào)
各相關(guān)單位:
根據(jù)《浙江省通信管理局關(guān)于開展重點(diǎn)網(wǎng)站安全防護(hù)工作專項(xiàng)檢查的通知》(浙通信網(wǎng)安[2012]35號(hào))安排,2012年5月起我局對省內(nèi)55家增值電信業(yè)務(wù)經(jīng)營許可證持證企業(yè)的相關(guān)網(wǎng)站進(jìn)行了安全防護(hù)專項(xiàng)檢查。現(xiàn)將檢查情況通報(bào)如下:
一、基本情況
從檢查的結(jié)果看,55家網(wǎng)站均存在不同程度的安全漏洞和隱患,其中28家網(wǎng)站存在低危險(xiǎn)級別的安全漏洞;8家網(wǎng)站存在中等危險(xiǎn)級別的安全漏洞,主要問題是安全繞過漏洞、網(wǎng)站敏感信息和源代碼被泄露等;19家網(wǎng)站存在高危級別的安全漏洞,其中包括跨站(腳本)漏洞、SQL注入漏洞、Apache Struts‘ParameterInterceptor’ 安全繞過漏洞和后臺(tái)登陸弱口令漏洞等。上述安全漏洞已對網(wǎng)站正常運(yùn)行造成嚴(yán)重的隱患。
二、下一階段工作要求
(一)對于檢查中存在中等及以上危險(xiǎn)級別安全漏洞的網(wǎng)站,相關(guān)單位應(yīng)引起高度重視,立即采取技術(shù)手段,切實(shí)整改,消除安全隱患;并不斷總結(jié)經(jīng)驗(yàn)教訓(xùn),降低網(wǎng)站發(fā)生安全事件的風(fēng)險(xiǎn)。我局將在檢查完成后把相應(yīng)的《網(wǎng)站安全檢查報(bào)告》下發(fā)給各單位。
(二)各企業(yè)要根據(jù)《YD/N126-2009增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全保障基本要求》等相關(guān)行業(yè)標(biāo)準(zhǔn),切實(shí)做好網(wǎng)站及應(yīng)用系統(tǒng)的安全保障工作,進(jìn)一步增加網(wǎng)絡(luò)信息安全管理責(zé)任意識(shí),不斷加強(qiáng)制度建設(shè)、技術(shù)手段建設(shè)和人員培訓(xùn),建立長效機(jī)制,維護(hù)網(wǎng)站安全穩(wěn)定運(yùn)行。
(三)我局將繼續(xù)開展增值電信業(yè)務(wù)網(wǎng)絡(luò)信息安全專項(xiàng)檢查,通報(bào)檢查結(jié)果,對存在問題的企業(yè)依法提出責(zé)令整改,對于整改工作落實(shí)不及時(shí)、不到位或拒不整改的單位,我局將根據(jù)《電信業(yè)務(wù)經(jīng)營許可證管理辦法》(工信部5號(hào)令)、《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》(工信部11號(hào)令)等相關(guān)規(guī)定進(jìn)行處理,并將其作為下一年度電信業(yè)務(wù)經(jīng)營許可證年檢的考核依據(jù)。
???????????????????????????二○一二年八月三日
第一階段檢查結(jié)果
| 序號(hào) | 公司名稱 | 風(fēng)險(xiǎn)等級 | 存在的主要問題 | 備注 |
| 1 | 杭州順網(wǎng)科技股份有限公司 | 高危 | 跨站腳本漏洞、Apache Struts ‘ParameterInterceptor’ 安全繞過漏洞 | |
| 2 | 杭州梵藝科技有限公司 | 高危 | 跨站腳本漏洞 | |
| 3 | 杭州邊鋒網(wǎng)絡(luò)技術(shù)有限公司 | 高危 | 跨站腳本漏洞 | |
| 4 | 浙江盤石信息技術(shù)有限公司 | 高危 | SQL注入漏洞、跨站腳本漏洞 | |
| 5 | 杭州炫彩文化藝術(shù)策劃有限公司 | 高危 | 跨站腳本漏洞、ASP源代碼泄露 | |
| 6 | 杭州繆斯客網(wǎng)絡(luò)科技有限公司 | 高危 | 跨站腳本漏洞 | |
| 7 | 浙江訊唯網(wǎng)絡(luò)發(fā)展有限公司 | 高危 | 跨站腳本漏洞 | |
| 8 | 浙江銀泰電子商務(wù)有限公司 | 高危 | 跨站腳本漏洞、SQL注入漏洞 | |
| 9 | 杭州幽游網(wǎng)絡(luò)科技有限公司 | 高危 | SQL注入漏洞、跨站腳本漏洞 | |
| 10 | 杭州漢唐文化傳播有限公司 | 高危 | 跨站腳本漏洞 | |
| 11 | 杭州鴻大網(wǎng)絡(luò)發(fā)展有限公司 | 高危 | 跨站腳本漏洞 | |
| 12 | 杭州九唐網(wǎng)絡(luò)科技有限公司 | 高危 | 跨站腳本漏洞 | |
| 13 | 嘉興市麥包包皮具有限公司 | 高危 | 跨站腳本漏洞 | |
| 14 | 爆米花(杭州)科技有限公司 | 高危 | 跨站腳本漏洞? | |
| 15 | 杭州卷瓜網(wǎng)絡(luò)有限公司 | 高危 | 跨站腳本漏洞 、SQL注入繞過登陸限制漏洞 | |
| 16 | 杭州奧點(diǎn)科技有限公司 | 高危 | 跨站腳本漏洞、存在Phpinfo探針、后臺(tái)登陸弱口令 | |
| 17 | 杭州大益商務(wù)網(wǎng)絡(luò)科技有限公司 | 高危 | 跨站腳本漏洞 | |
| 18 | 浙江堅(jiān)果網(wǎng)絡(luò)有限公司 | 高危 | 跨站腳本漏洞 | |
| 19 | 浙江凱聯(lián)科技有限公司 | 中危 | .NET Framework ASP.NET Padding Oracle攻擊信息泄露漏洞 | |
| 20 | 杭州網(wǎng)絡(luò)傳媒有限公司 | 中危 | 目錄瀏覽、Apache HTTP Server “httpOnly” Cookie信息泄露漏洞 | |
| 21 | 金華市比奇網(wǎng)絡(luò)技術(shù)有限公司 | 中危 | ASP源代碼泄露 | |
| 22 | 杭州向上網(wǎng)絡(luò)科技有限公司 | 中危 | iis7/7.5解析漏洞 | |
| 23 | 杭州泰聯(lián)科技有限公司 | 中危 | 可以查看網(wǎng)站目錄結(jié)構(gòu)和文件 、存在fckeditor | |
| 24 | 杭州搜視網(wǎng)絡(luò)有限公司 | 中危 | apache敏感信息泄露 | |
| 25 | 浙江房超信息科技有限公司 | 中危 | Apache敏感信息泄露 |
