1.1  概述

为了掌握某市政务网站的网络安全整体情况，在相关监管机构授权后，我们组织人员抽取了某市78个政务网站进行安全扫描，并对其中的12个网站进行人工安全检测。通过安全扫描和人工检测，对该市政务网站整体安全情况进行预估。

1.2  工具扫描结果

本次利用网站安全检测平台共扫描各类政务网站78个,其中存在漏洞的网站38个,占比为48.7%。其中存在高危漏洞的网站6个，占扫描网站总数的7.6%.

从检测出漏洞的危险等级来看,高危漏洞数量占13%,中危占22%,低危占65%。

其中应用程序错误信息(24.5%)、异常页面导致服务器信息泄露(11.2%)和跨站脚本攻击漏洞(17.0%)这三类是占比最高的网站安全漏洞,三者之和超过漏洞总数的50%。

1.3  人工检测结果

我们从78个网站中随机抽取12个站点进行人工测试，取样后的12个站点情况为：其中7个站点在安全扫描中未发现漏洞，5个站点存在漏洞。存在漏洞的5个站点漏洞分布情况如下：

表图如下：

而通过对12个站点的手工检测，发现其中的11个网站都存在中高危漏洞。与工具检测结果相差较大。

手工检测漏洞分布情况如下：

部分检测数据如下：

而手工检测和工具检测的主要区别在于业务逻辑型漏洞，如越权漏洞、文件上传漏洞、账户枚举漏洞等，同时还有部分常规漏洞的绕过WAF后的检测，如XSS漏洞、SQL注入漏洞、命令执行漏洞等。

1.4  漏洞修复情况

在我们发现上述网站漏洞后，及时通报了相关单位。其中1天内修复的比例仅为6%,当天未修复但一周以内修复的比例为27%,超过一周才修复的比例为67%。

1.5  检测结论

1、通过工具扫描，发现部分网站仍存在一些较为明显的漏洞，可被自动化检测工具检测到，而这些漏洞一旦被恶意攻击者利用则很可能给网站带来较大威胁。

2、通过人工检测，发现绝大部分网站都存在中高危漏洞，很多漏洞如业务逻辑型漏洞、绕过WAF的检测等方面是扫描器无法探测到的，但通过人工检测能发现更多更深层次的漏洞，而这种漏洞更容易被有目的的攻击者利用（如APT攻击）。

3、通过漏洞的修复情况分析，即便是在能够修复漏洞的网站中,仍有近2/3的网站漏洞修复周期过长,修复较为不及时(大于7天)。

4、网站所有者不能认为有了WAF等设备就能高枕无忧，应该定期对网站进行整体安全评测，特别是人工安全检测、代码审计等。

关注我们

对web安全有兴趣的小伙伴可以关注或加入我们，TideSec安全团队：

来源：freebuf.com 2019-03-01 18:03:13 by: TideSec