关于立即开展弱口令等网络安全风险排查整改的工作提示

发布时间：2023-10-07 21:37

各地、各单位：

为加强信息系统（网站）安全，提升我省教育系统网络安全保障能力，请各单位针对弱口令等网络安全风险立即开展排查整改。

1.弱口令

风险等级：高

风险描述：未对密码设置策略进行强制要求，用户使用弱口令、通用口令，账户被黑客破解并控制，造成信息泄露，发布欺骗信息、恶意文件、钓鱼邮件等问题，产生严重的后果及影响。

修复建议：设定强制密码策略，密码至少由数字、字母、符号等三种字符组合、长度不少于12位；定期更换密码；禁用长期未登录账户和已离职人员账户；增加多因素验证机制。

2.信息泄露

风险等级：中

风险描述：敏感数据包括但不限于口令、密钥、证书、会话标识、License、隐私数据（如短消息的内容）、授权凭据、个人数据（如姓名、住址、电话等）等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。在网站的报错中，也有可能暴露本身系统的敏感信息，例如sql语句的泄露，中间件版本的泄露。

修复建议：禁止在代码中存储敏感数据；禁止在代码中存储如数据库连接字符串、口令和密钥等敏感数据，这样容易导致泄密；禁止密钥或账号的口令以明文形式存储在数据库或者文件中，密钥或者账号的口令必须经过加密存储。

3.暗链

风险等级：高

风险描述：站点引用了外部链接，由于外部网站没有专业的人员进行维护运行导致域名过期后被他人注册，这些链接往往被非法链接到色情、诈骗甚至反动信息，主要目的是为了提供非法网站的权重，将流量劫持到非法网站。

修复建议：清除对应目录下植入的暗链内容和网页；对复制的内容信息去除超链接，或以文本方式复制网页上的信息；清理网页上非权威网站外部链接。

4.SQL注入

风险等级：高

风险描述：Web应用程序通常与后端的数据库进行交互。Web应用程序提供相关的接口，以便将它并入SQL查询中，然后发送到后端数据库，接着应用程序处理查询结果，反馈给访问者。如果应用程序对访问者的输入处理未做检查或者检查的不完善，访问者便可以构造恶意的数据，当该数据并入SQL查询中时，就将得到访问者期望的结果。

修复建议：限定访问者提交数据的类型，过滤危险的SQL语句关键字，例如：select、from、update、delete等；升级web服务器运行平台软件补丁，建议使用WAF防护。

5.跨站脚本

风险等级：高

风险描述：跨站脚本是指恶意攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。web应用程序未对用户输入的字符过滤或合法性校验，允许用户输入javascript、vbscript语句，得到客户端机器的cookie等信息。

修复建议：过滤用户提交的数据中的<、>、script、eval、document 、.等字符，建议使用WAF防护。

6.木马后门植入

风险等级：高

风险描述：木马植入是攻击者通过技术手段将木马程序上传于服务器中，对被感染木马病毒的计算机实施操作并取得网站或服务器管理员权限，一般木马植入会伴随系统本身存在的漏洞、脆弱性配置、弱口令等其他威胁。

修复建议：定期开展木马查杀，删除被植入的后门木马，并通过检查日志文件查明入侵途径及影响危害。及时修复网站或服务器漏洞，对服务器上传文件类型进行检验和限制。

7.补丁升级

风险等级：高

风险详情：应用程序、WEB中间件版本过低或已安装版本存在安全漏洞时，黑客可通过程序缺陷进行命令执行、拒绝服务攻击、反序列化等多种攻击获取网站服务器权限。

修复建议：关注厂商发布的更新动态，及时安装补丁和升级软件版本。

网络安全风险不限于以上7种，请各单位结合本单位工作实际，开展网络安全风险隐患排查，确保信息系统（网站）的安全性和稳定性。

2023年10月7日

转发自湖北省教育系统网络安全中心