冷漠PS:社工的机会又增加了几分...
新闻来源:金光论坛
近日,国家信息产业部的新备案系统已对外发布。清爽的界面,访问速度和备案速度的大幅度提高,给人留下了深刻的印象。
然而,笔者在对新系统的试用之后,却发现了一些不得不引起重视的问题......

问题一: 备案者隐私暴露无疑

  笔者通过访问“公共查询”页面 http://www.miibeian.gov.cn/CX/main.jsp ,点击左侧的“备案公共信息查询”链接 http://www.miibeian.gov.cn/chaxun/ggcx.jsp ,选择右侧的“网站首页网址”,然后随便输入一个网站的域名,点击“查询”按钮,再在随后出现的“备案公共信息查询结果”页面中点击“详细信息”一栏中的“浏览”按钮,居然可以在“不需要任何特殊权限验证”的情况下查询到备案人的个人隐私资料,其中包括了备案人的详细住址信息等(如图)!

Highslide JS

如此轻而易举就能获取到备案人的详细资料

  在此,笔者希望该备案系统的设计方北京哈工大科技发展有限公司对此漏洞作出修复,在查询备案人隐私信息方面,加一道特殊权限的验证,也就是只允许国家相关管理部门访问,而不对公众进行开放,否则备案人的个人隐私将难以得到保障!

问题二: 备案者的隐私信息可以被批量下载

  接上面的问题,在“备案公共信息查询详细信息”结果页中,可以看到地址栏中呈现的地址是以“ http://www.miibeian.gov.cn/chaxun/ggcx_ok_1.jsp?ztid=??????? ”形式出现的,地址最后的数字,也就是“ztid=???????”更改为其它数字,即可在无任何特殊权限验证的情况下,泄露其他备案人的详细信息,这样将导致所有备案人的详细信息都可以用下载工具直接下载到!

  第二个漏洞之前在微软公司赠送SP补丁光盘时出现过,但微软公司很快就对那个漏洞进行了修复。而在此,希望信产部的相关技术人员在看到此报道后,也能尽快修复这个漏洞,以免给更多的备案人造成损失!

  截至笔者发稿时为之,信产部电话 010-95169001 始终都无法打通,语音提示对不起,人工坐席忙,稍后为你接通,然后便自动挂断了。
Tags: ,
Technology | Comments(2) | Trackbacks(0) | Reads(24964)
D
April 6, 2012 09:47
域名注册信息可以随便填写,而备案信息必须真实。第二个漏洞真大,啥破公司设计的。
October 18, 2007 12:21
晕了,你买域名的时候,也填了详细的资料,查域名不也是能查到吗?
Pages: 1/1 First page 1 Final page
Add a comment
Emots
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
Enable HTML
Enable UBB
Enable Emots
Hidden
Nickname   Password   Optional
Site URI   Email   [Register]
               

Security code Case insensitive