浙通信网安函〔2012〕108号

各相关单位：

根据《浙江省通信管理局关于开展重点网站安全防护工作专项检查的通知》（浙通信网安[2012]35号）安排，2012年5月起我局对省内55家增值电信业务经营许可证持证企业的相关网站进行了安全防护专项检查。现将检查情况通报如下：

一、基本情况

从检查的结果看，55家网站均存在不同程度的安全漏洞和隐患，其中28家网站存在低危险级别的安全漏洞；8家网站存在中等危险级别的安全漏洞，主要问题是安全绕过漏洞、网站敏感信息和源代码被泄露等；19家网站存在高危级别的安全漏洞，其中包括跨站（脚本）漏洞、SQL注入漏洞、Apache Struts‘ParameterInterceptor’ 安全绕过漏洞和后台登陆弱口令漏洞等。上述安全漏洞已对网站正常运行造成严重的隐患。

二、下一阶段工作要求

（一）对于检查中存在中等及以上危险级别安全漏洞的网站，相关单位应引起高度重视，立即采取技术手段，切实整改，消除安全隐患；并不断总结经验教训，降低网站发生安全事件的风险。我局将在检查完成后把相应的《网站安全检查报告》下发给各单位。

（二）各企业要根据《YD/N126-2009增值电信业务网络信息安全保障基本要求》等相关行业标准，切实做好网站及应用系统的安全保障工作，进一步增加网络信息安全管理责任意识，不断加强制度建设、技术手段建设和人员培训，建立长效机制，维护网站安全稳定运行。

（三）我局将继续开展增值电信业务网络信息安全专项检查，通报检查结果，对存在问题的企业依法提出责令整改，对于整改工作落实不及时、不到位或拒不整改的单位，我局将根据《电信业务经营许可证管理办法》（工信部5号令）、《通信网络安全防护管理办法》（工信部11号令）等相关规定进行处理，并将其作为下一年度电信业务经营许可证年检的考核依据。

 

 

 

 

                           二○一二年八月三日

 

第一阶段检查结果

 

序号	公司名称	风险等级	存在的主要问题	备注
1	杭州顺网科技股份有限公司	高危	跨站脚本漏洞、Apache Struts ‘ParameterInterceptor’ 安全绕过漏洞
2	杭州梵艺科技有限公司	高危	跨站脚本漏洞
3	杭州边锋网络技术有限公司	高危	跨站脚本漏洞
4	浙江盘石信息技术有限公司	高危	SQL注入漏洞、跨站脚本漏洞
5	杭州炫彩文化艺术策划有限公司	高危	跨站脚本漏洞、ASP源代码泄露
6	杭州缪斯客网络科技有限公司	高危	跨站脚本漏洞
7	浙江讯唯网络发展有限公司	高危	跨站脚本漏洞
8	浙江银泰电子商务有限公司	高危	跨站脚本漏洞、SQL注入漏洞
9	杭州幽游网络科技有限公司	高危	SQL注入漏洞、跨站脚本漏洞
10	杭州汉唐文化传播有限公司	高危	跨站脚本漏洞
11	杭州鸿大网络发展有限公司	高危	跨站脚本漏洞
12	杭州九唐网络科技有限公司	高危	跨站脚本漏洞
13	嘉兴市麦包包皮具有限公司	高危	跨站脚本漏洞
14	爆米花（杭州）科技有限公司	高危	跨站脚本漏洞
15	杭州卷瓜网络有限公司	高危	跨站脚本漏洞 、SQL注入绕过登陆限制漏洞
16	杭州奥点科技有限公司	高危	跨站脚本漏洞、存在Phpinfo探针、后台登陆弱口令
17	杭州大益商务网络科技有限公司	高危	跨站脚本漏洞
18	浙江坚果网络有限公司	高危	跨站脚本漏洞
19	浙江凯联科技有限公司	中危	.NET Framework ASP.NET Padding Oracle攻击信息泄露漏洞
20	杭州网络传媒有限公司	中危	目录浏览、Apache HTTP Server “httpOnly” Cookie信息泄露漏洞
21	金华市比奇网络技术有限公司	中危	ASP源代码泄露
22	杭州向上网络科技有限公司	中危	iis7/7.5解析漏洞
23	杭州泰联科技有限公司	中危	可以查看网站目录结构和文件 、存在fckeditor
24	杭州搜视网络有限公司	中危	apache敏感信息泄露
25	浙江房超信息科技有限公司	中危	Apache敏感信息泄露