黑龙江省机关事业单位网站漏洞情况月度通报(1月)

19.04.2016  12:29

  2016年1月,我省机关事业单位所属网站发现漏洞共计71个(含重复获得的漏洞),涉及62家机关事业单位。漏洞类型包含:SQL注入漏洞、JAVA反序列漏洞、弱口令漏洞、strust2远程执行漏洞、网站后门漏洞、文件泄露等,其中SQL注入漏洞数量20个、JAVA反序列漏洞数量19个、弱口令漏洞数量8个,分布情况如图1。

  

图1.漏洞类型分布图


  三种主要类型漏洞的危害及防范措施如下: 
            SQL注入漏洞,这种漏洞可以导致网站被后台登录、网页内容被删除或篡改等高危风险。建议对存在漏洞的脚本文件源码严格审核,严格过滤用户输入信息后,再代入SQL语句查询,过滤外部的用户输入要考虑周全。对Web应用安全加固,并改善其应用部署的合理性。通过部署Web防火墙等设备,监控并过滤恶意的外部访问,并对恶意访问进行统计记录。
            JAVA反序列化命令执行漏洞,这种漏洞可以导致服务器被远程控制,进行上传木马、篡改网页等操作。

            弱口令漏洞,这个漏洞将导致网站被非法登录、泄露用户信息等高危风险。建议加强管理员账户的用户名和密码复杂度,例如修改为6位以上大写字母、小写字母、数字、特殊符号的组合,并定期更换。


 

国家计算机网络应急技术处理协调中心黑龙江分中心
                                                                              2016年2月24日

(编辑:hljtx)