黑龙江省机关事业单位网站漏洞情况月度通报(1月)
19.04.2016 12:29
本文来源: 通信管理局
2016年1月,我省机关事业单位所属网站发现漏洞共计71个(含重复获得的漏洞),涉及62家机关事业单位。漏洞类型包含:SQL注入漏洞、JAVA反序列漏洞、弱口令漏洞、strust2远程执行漏洞、网站后门漏洞、文件泄露等,其中SQL注入漏洞数量20个、JAVA反序列漏洞数量19个、弱口令漏洞数量8个,分布情况如图1。
图1.漏洞类型分布图
三种主要类型漏洞的危害及防范措施如下:
SQL注入漏洞,这种漏洞可以导致网站被后台登录、网页内容被删除或篡改等高危风险。建议对存在漏洞的脚本文件源码严格审核,严格过滤用户输入信息后,再代入SQL语句查询,过滤外部的用户输入要考虑周全。对Web应用安全加固,并改善其应用部署的合理性。通过部署Web防火墙等设备,监控并过滤恶意的外部访问,并对恶意访问进行统计记录。
JAVA反序列化命令执行漏洞,这种漏洞可以导致服务器被远程控制,进行上传木马、篡改网页等操作。
弱口令漏洞,这个漏洞将导致网站被非法登录、泄露用户信息等高危风险。建议加强管理员账户的用户名和密码复杂度,例如修改为6位以上大写字母、小写字母、数字、特殊符号的组合,并定期更换。
国家计算机网络应急技术处理协调中心黑龙江分中心
2016年2月24日
本文来源: 通信管理局
19.04.2016 12:29