能否抵挡黑客攻击?网络安全一测试,四川12家单位沦陷
来源:川报观察 发布时间:2017年10月10日 10:28

川报观察记者 刘宏顺

近日,一场黑客渗透与反黑客攻击为内容的攻防大战在我省展开,12家单位因为关键信息基础设施目标系统存在重大网络安全隐患,瞬间沦陷。

不要急。

攻防大战中的黑客,并非现实生活中的真实黑客,他们全是从我省各市州网安部门抽调来的技术骨干人员,以及由亚信安全、360安全等企业的技术人员组成。

黑客虽是假的,但干的全是真黑客的事。据介绍,这次参加“平安2017”关键信息基础设施攻防演练,被攻击的对象全是真实的单位,如省电力、审计、卫计委等25个省、市关键信息基础设施单位政府网站,参演人员达90余人。

真实攻防,

此次演练在确保安全的前提下,攻防双方在真实网络环境下“背靠背”进行实兵对抗,及时发现并整改重点保卫单位网络安全深层次问题和隐患,检验并提高安全监测、日志留存、应急处置等网络安全防御能力和水平。

“平安2017”攻防演练启动以来,攻防双方你来我往、实兵对抗,攻守之间,成果初显。演练中,某攻击团队通过扫描、渗透等多种手段,最终成功突破防线,发现某省级目标系统的多个重大安全隐患。

该目标系统某场景式服务管理系统存在弱口令、未授权访问、敏感信息泄露、验证码不失效、文件上传等5处漏洞。

通过管理后台存在的账号弱口令漏洞,可成功进入系统后台,实现对网站内容、用户权限的修改等管理操作。

部分页面未添加用户验证机制,导致泄露用户账号信息等敏感数据,未授权用户可直接查看页面内容。

关注微信举报

中国互联网举报中心 |  12377 |  jubao@12377.cn

关于我们 |  电话:028-962377 | 邮箱:scjb@scjb.gov.cn | 蜀ICP备13026939号-1
地址:四川省成都市青羊区青龙街51号倍特康派大厦23楼 邮编:610031 四川省互联网不良与违法信息举报中心版权所有
开发者:四川博众互信网络科技有限公司