哈工大研究员发布研究报告：政府网站安全仍面临严峻挑战！

知道创宇 2024-05-09 09:31:34  39021

分类专栏：资讯

2024年4月29日，哈工大5名研究人员发布了代号为“SilkSecured”的一项研究报告，专门针对13,898个中国政府网站（WEB系统）的安全性和依赖性进行了验证和分析，发现一些突出暴露的问题，可能导致政府网站被黑客恶意攻击！

从创宇安全智脑数据看，今年五一期间，政府网站日均攻击数量是平时的五倍，相比去年五一期间也上涨了20%，其中XSS、文件上传恶意攻击行为主要来源于国外IP、占比68%。

研究人员从域名解析、第三方JavaScript库的使用、证书颁发机构(CA)服务、内容分发网络(CDN)服务、网站结构、运营商信息等方面，对13,898个政府网站系统进行了验证和分析，得出政府网站存在下面这些主要问题：

1.域名问题：研究发现有超过四分之一（26.85%）的政府网站域名没有域名服务器（NS）记录，这意味着这些域名可能没有有效的 DNS配置，可能导致它们在互联网上无法访问或不稳定。

2.第三方库风险：大部分网站（78.91%）都在用一个叫jQuery的第三方库，但是检查发现有4,250个网站的这个库存在安全漏洞，特别是CVE-2020-23064漏洞，影响jQuery 2.2.0到3.5.0之间的版本。

3.CA服务：在9,011个网站的证书中，有2,011个证书信息不完整或者设置有误，这就像是个人身份证信息没填全，可能会引起误会或问题。

4.CDN服务：将近一半（43.13%）的政府网站使用了CDN服务来加速网站，让网站访问更快更安全，但是对CDN服务商的依赖太强，万一他们出现问题，很多网站都会受影响。

5.ISP：政府网站的服务器大多集中在几家网络服务提供商那里，中国移动、中国电信、中国联通和阿里云占据了98.29%的市场，依赖少数 ISP所带来的威胁主要涉及网络稳定性、安全性和竞争环境，这就像是所有鸡蛋放在同一个篮子里，一旦篮子翻了，问题就大了。

6.HTTPS：还有将近一半（48.50%）的网站只支持不安全的HTTP，这些网站的传输内容（包括密码、信用卡等信息）都是明文的，很容易被中间人劫持，存在账号被窃取、数据泄露、资金损失等风险。

7.IPv6：79.97%的网站仅使用IPv4，19.36%的网站仅使用IPv6，仅0.67%的网站同时支持IPv4和IPv6（这种双栈架构能为用户提供更大的灵活性和兼容性）。

8.DNSSEC：尽管有些网站的DNS记录看起来支持DNSSEC（一种保护域名解析不被篡改的技术），但实际上在官方数据库里并没有记录为已签名，这就像是说好了要签合同，但合同书上忘了签名。

9.ZAP分析：揭示了多个安全问题

− 10,187 个政府网站未配置 X-Content-Type-Options 头，这可能使网站容易受到 MIME 类型欺骗攻击。

− 10,323 个政府网站没有设置内容安全策略 (CSP) 头，这可能增加了XSS跨站脚本攻击的风险。

− 8,182 个政府网站缺乏反 CSRF 令牌，这可能使它们容易受到跨站请求伪造 (CSRF) 攻击。

− 3,203 个网站在其策略中包含了通配符指令，761 个使用了不安全的 eval，3,202 个使用了不安全的 inline。

− 8,158 个政府网站缺少反点击劫持头，使它们更容易受到点击劫持攻击。

− 3,313 个网站的 cookie 没有启用 HttpOnly 标志，6,624 个 cookie 缺乏 SameSite 属性，这可能导致 cookie 被不当访问。

− 1,069 个政府网站的私有 IP 地址泄露，可能暴露有关系统架构的敏感信息。

以上政府网站的大部分问题，都可以通过接入创宇盾得到完美解决！

创宇盾如何应对SilkSecured报告中的问题？

01.政府网站常见WEB攻击

接入创宇盾后，可以对政府网站常遇到的跨站脚本、SQL注入、命令注入、webshell等常见攻击进行拦截。

02.域名NS托管，规避NS配置问题

将政府网站域名NS托管至创宇盾平台后，云防御平台就会提供标准的DNS解析服务，规避记录不合规的问题，保证网站访问的稳定性。

03.第三方组件漏洞虚拟补丁

政府网站接入创宇盾平台后，即使网站调用的第三方库（如：jQuery）存在漏洞，当黑客通过访问网站时，如果有利用漏洞的攻击行为，就会被创宇盾拦截，漏洞对黑客来说是不可利用的，相当于为漏洞打了虚拟补丁。

04.SSL证书托管，提供完整证书配置、HTTPS服务

通过创宇盾平台申请的SSL证书，有专业技术顾问协助申请、部署，保证证书配置信息完整，同时提供国际、国密算法证书，国内、国外品牌证书，部署SSL证书后就开启了HTTPS，保证网站数据在传输过程中的隐私安全。

05.IPv6/IPv4双栈改造及防护

创宇盾平台支持对政府网站进行IPv6改造，双栈架构可同时支持IPv4和IPv6用户访问，还支持IPv4和IPv6场景下的安全防护，保障网站不会被黑客攻破。

参考资料：https://doi.org/10.21203/rs.3.rs-4275987/v1

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

赞同 1

评论 0 条