飞吧!爱的翅膀!

心在一起!

信产部网站备案系统被披露存在备案人隐私外泄问题

信产部网站备案系统被披露存在备案人隐私外泄问题

 

ugmbbc发布于 2007-09-23 16:16:44| 2554 次阅读 字体: 打印预览



外部图片: http://www.cnbeta.com/images/topics/hotnews.png
感谢vbvs的投递
新闻来源:金光论坛
近日,国家信息产业部的新备案系统已对外发布。清爽的界面,访问速度和备案速度的大幅度提高,给人留下了深刻的印象。
然而,笔者在对新系统的试用之后,却发现了一些不得不引起重视的问题......


问题一: 备案者隐私暴露无疑

  笔者通过访问“公共查询”页面 http://www.miibeian.gov.cn/CX/main.jsp ,点击左侧的“备案公共信息查询”链接 http://www.miibeian.gov.cn/chaxun/ggcx.jsp ,选择右侧的“网站首页网址”,然后随便输入一个网站的域名,点击“查询”按钮,再在随后出现的“备案公共信息查询结果”页面中点击“详细信息”一栏中的“浏览”按钮,居然可以在“不需要任何特殊权限验证”的情况下查询到备案人的个人隐私资料,其中包括了备案人的详细住址信息等(如图)!

 

  在此,笔者希望该备案系统的设计方北京哈工大科技发展有限公司对此漏洞作出修复,在查询备案人隐私信息方面,加一道特殊权限的验证,也就是只允许国家相关管理部门访问,而不对公众进行开放,否则备案人的个人隐私将难以得到保障!

问题二: 备案者的隐私信息可以被批量下载

  接上面的问题,在“备案公共信息查询详细信息”结果页中,可以看到地址栏中呈现的地址是以“ http://www.miibeian.gov.cn/chaxun/ggcx_ok_1.jsp?ztid=??????? ”形式出现的,地址最后的数字,也就是“ztid=???????”更改为其它数字,即可在无任何特殊权限验证的情况下,泄露其他备案人的详细信息,这样将导致所有备案人的详细信息都可以用下载工具直接下载到!

  第二个漏洞之前在微软公司赠送SP补丁光盘时出现过,但微软公司很快就对那个漏洞进行了修复。而在此,希望信产部的相关技术人员在看到此报道后,也能尽快修复这个漏洞,以免给更多的备案人造成损失!

  截至笔者发稿时为之,信产部电话 010-95169001 始终都无法打通,语音提示对不起,人工坐席忙,稍后为你接通,然后便自动挂断了。 
阅读更多
个人分类: 网络新闻
上一篇飞花似花:央视炮轰成龙,是一场“侵略”战争
下一篇奇虎总裁齐向东:病毒恶意软件木马三分天下
想对作者说点什么? 我来说一句

房地产网上备案系统房产局系统

2008年09月18日 23.18MB 下载

没有更多推荐了,返回首页

关闭
关闭