浙通信網安函〔2012〕108號

各相關單位：

根據《浙江省通信管理局關于開展重點網站安全防護工作專項檢查的通知》（浙通信網安[2012]35號）安排，2012年5月起我局對省內55家增值電信業務經營許可證持證企業的相關網站進行了安全防護專項檢查。現將檢查情況通報如下：

一、基本情況

從檢查的結果看，55家網站均存在不同程度的安全漏洞和隱患，其中28家網站存在低危險級別的安全漏洞；8家網站存在中等危險級別的安全漏洞，主要問題是安全繞過漏洞、網站敏感信息和源代碼被泄露等；19家網站存在高危級別的安全漏洞，其中包括跨站（腳本）漏洞、SQL注入漏洞、Apache Struts‘ParameterInterceptor’ 安全繞過漏洞和后臺登陸弱口令漏洞等。上述安全漏洞已對網站正常運行造成嚴重的隱患。

二、下一階段工作要求

（一）對于檢查中存在中等及以上危險級別安全漏洞的網站，相關單位應引起高度重視，立即采取技術手段，切實整改，消除安全隱患；并不斷總結經驗教訓，降低網站發生安全事件的風險。我局將在檢查完成后把相應的《網站安全檢查報告》下發給各單位。

（二）各企業要根據《YD/N126-2009增值電信業務網絡信息安全保障基本要求》等相關行業標準，切實做好網站及應用系統的安全保障工作，進一步增加網絡信息安全管理責任意識，不斷加強制度建設、技術手段建設和人員培訓，建立長效機制，維護網站安全穩定運行。

（三）我局將繼續開展增值電信業務網絡信息安全專項檢查，通報檢查結果，對存在問題的企業依法提出責令整改，對于整改工作落實不及時、不到位或拒不整改的單位，我局將根據《電信業務經營許可證管理辦法》（工信部5號令）、《通信網絡安全防護管理辦法》（工信部11號令）等相關規定進行處理，并將其作為下一年度電信業務經營許可證年檢的考核依據。

 

 

 

 

???????????????????????????二○一二年八月三日

 

第一階段檢查結果

 

序號	公司名稱	風險等級	存在的主要問題	備注
1	杭州順網科技股份有限公司	高危	跨站腳本漏洞、Apache Struts ‘ParameterInterceptor’ 安全繞過漏洞
2	杭州梵藝科技有限公司	高危	跨站腳本漏洞
3	杭州邊鋒網絡技術有限公司	高危	跨站腳本漏洞
4	浙江盤石信息技術有限公司	高危	SQL注入漏洞、跨站腳本漏洞
5	杭州炫彩文化藝術策劃有限公司	高危	跨站腳本漏洞、ASP源代碼泄露
6	杭州繆斯客網絡科技有限公司	高危	跨站腳本漏洞
7	浙江訊唯網絡發展有限公司	高危	跨站腳本漏洞
8	浙江銀泰電子商務有限公司	高危	跨站腳本漏洞、SQL注入漏洞
9	杭州幽游網絡科技有限公司	高危	SQL注入漏洞、跨站腳本漏洞
10	杭州漢唐文化傳播有限公司	高危	跨站腳本漏洞
11	杭州鴻大網絡發展有限公司	高危	跨站腳本漏洞
12	杭州九唐網絡科技有限公司	高危	跨站腳本漏洞
13	嘉興市麥包包皮具有限公司	高危	跨站腳本漏洞
14	爆米花（杭州）科技有限公司	高危	跨站腳本漏洞?
15	杭州卷瓜網絡有限公司	高危	跨站腳本漏洞 、SQL注入繞過登陸限制漏洞
16	杭州奧點科技有限公司	高危	跨站腳本漏洞、存在Phpinfo探針、后臺登陸弱口令
17	杭州大益商務網絡科技有限公司	高危	跨站腳本漏洞
18	浙江堅果網絡有限公司	高危	跨站腳本漏洞
19	浙江凱聯科技有限公司	中危	.NET Framework ASP.NET Padding Oracle攻擊信息泄露漏洞
20	杭州網絡傳媒有限公司	中危	目錄瀏覽、Apache HTTP Server “httpOnly” Cookie信息泄露漏洞
21	金華市比奇網絡技術有限公司	中危	ASP源代碼泄露
22	杭州向上網絡科技有限公司	中危	iis7/7.5解析漏洞
23	杭州泰聯科技有限公司	中危	可以查看網站目錄結構和文件 、存在fckeditor
24	杭州搜視網絡有限公司	中危	apache敏感信息泄露
25	浙江房超信息科技有限公司	中危	Apache敏感信息泄露