2024年4月29日,哈工大5名研究人员发布了代号为“SilkSecured”的一项研究报告,专门针对13,898个中国政府网站(WEB系统)的安全性和依赖性进行了验证和分析,发现一些突出暴露的问题,可能导致政府网站被黑客恶意攻击!
从创宇安全智脑数据看,今年五一期间,政府网站日均攻击数量是平时的五倍,相比去年五一期间也上涨了20%,其中XSS、文件上传恶意攻击行为主要来源于国外IP、占比68%。
研究人员从域名解析、第三方JavaScript库的使用、证书颁发机构(CA)服务、内容分发网络(CDN)服务、网站结构、运营商信息等方面,对13,898个政府网站系统进行了验证和分析,得出政府网站存在下面这些主要问题:
1.域名问题:研究发现有超过四分之一(26.85%)的政府网站域名没有域名服务器(NS)记录,这意味着这些域名可能没有有效的 DNS配置,可能导致它们在互联网上无法访问或不稳定。
2.第三方库风险:大部分网站(78.91%)都在用一个叫jQuery的第三方库,但是检查发现有4,250个网站的这个库存在安全漏洞,特别是CVE-2020-23064漏洞,影响jQuery 2.2.0到3.5.0之间的版本。
3.CA服务:在9,011个网站的证书中,有2,011个证书信息不完整或者设置有误,这就像是个人身份证信息没填全,可能会引起误会或问题。
4.CDN服务:将近一半(43.13%)的政府网站使用了CDN服务来加速网站,让网站访问更快更安全,但是对CDN服务商的依赖太强,万一他们出现问题,很多网站都会受影响。
5.ISP:政府网站的服务器大多集中在几家网络服务提供商那里,中国移动、中国电信、中国联通和阿里云占据了98.29%的市场,依赖少数 ISP所带来的威胁主要涉及网络稳定性、安全性和竞争环境,这就像是所有鸡蛋放在同一个篮子里,一旦篮子翻了,问题就大了。
6.HTTPS:还有将近一半(48.50%)的网站只支持不安全的HTTP,这些网站的传输内容(包括密码、信用卡等信息)都是明文的,很容易被中间人劫持,存在账号被窃取、数据泄露、资金损失等风险。
7.IPv6:79.97%的网站仅使用IPv4,19.36%的网站仅使用IPv6,仅0.67%的网站同时支持IPv4和IPv6(这种双栈架构能为用户提供更大的灵活性和兼容性)。
8.DNSSEC:尽管有些网站的DNS记录看起来支持DNSSEC(一种保护域名解析不被篡改的技术),但实际上在官方数据库里并没有记录为已签名,这就像是说好了要签合同,但合同书上忘了签名。
9.ZAP分析:揭示了多个安全问题
− 10,187 个政府网站未配置 X-Content-Type-Options 头,这可能使网站容易受到 MIME 类型欺骗攻击。
− 10,323 个政府网站没有设置内容安全策略 (CSP) 头,这可能增加了XSS跨站脚本攻击的风险。
− 8,182 个政府网站缺乏反 CSRF 令牌,这可能使它们容易受到跨站请求伪造 (CSRF) 攻击。
− 3,203 个网站在其策略中包含了通配符指令,761 个使用了不安全的 eval,3,202 个使用了不安全的 inline。
− 8,158 个政府网站缺少反点击劫持头,使它们更容易受到点击劫持攻击。
− 3,313 个网站的 cookie 没有启用 HttpOnly 标志,6,624 个 cookie 缺乏 SameSite 属性,这可能导致 cookie 被不当访问。
− 1,069 个政府网站的私有 IP 地址泄露,可能暴露有关系统架构的敏感信息。
以上政府网站的大部分问题,都可以通过接入创宇盾得到完美解决!
创宇盾如何应对SilkSecured报告中的问题?
01.政府网站常见WEB攻击
接入创宇盾后,可以对政府网站常遇到的跨站脚本、SQL注入、命令注入、webshell等常见攻击进行拦截。
02.域名NS托管,规避NS配置问题
将政府网站域名NS托管至创宇盾平台后,云防御平台就会提供标准的DNS解析服务,规避记录不合规的问题,保证网站访问的稳定性。
03.第三方组件漏洞虚拟补丁
政府网站接入创宇盾平台后,即使网站调用的第三方库(如:jQuery)存在漏洞,当黑客通过访问网站时,如果有利用漏洞的攻击行为,就会被创宇盾拦截,漏洞对黑客来说是不可利用的,相当于为漏洞打了虚拟补丁。
04.SSL证书托管,提供完整证书配置、HTTPS服务
通过创宇盾平台申请的SSL证书,有专业技术顾问协助申请、部署,保证证书配置信息完整,同时提供国际、国密算法证书,国内、国外品牌证书,部署SSL证书后就开启了HTTPS,保证网站数据在传输过程中的隐私安全。
05.IPv6/IPv4双栈改造及防护
创宇盾平台支持对政府网站进行IPv6改造,双栈架构可同时支持IPv4和IPv6用户访问,还支持IPv4和IPv6场景下的安全防护,保障网站不会被黑客攻破。
参考资料:https://doi.org/10.21203/rs.3.rs-4275987/v1
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!