信产部网站备案系统被披露存在备案人隐私外泄问题

信产部网站备案系统被披露存在备案人隐私外泄问题

ugmbbc发布于 2007-09-23 16:16:44| 2554 次阅读 字体：大 小 打印预览





外部图片: http://www.cnbeta.com/images/topics/hotnews.png
感谢vbvs的投递
新闻来源:金光论坛
近日，国家信息产业部的新备案系统已对外发布。清爽的界面，访问速度和备案速度的大幅度提高，给人留下了深刻的印象。
然而，笔者在对新系统的试用之后，却发现了一些不得不引起重视的问题......

问题一： 备案者隐私暴露无疑

　　笔者通过访问“公共查询”页面 http://www.miibeian.gov.cn/CX/main.jsp ，点击左侧的“备案公共信息查询”链接 http://www.miibeian.gov.cn/chaxun/ggcx.jsp ，选择右侧的“网站首页网址”，然后随便输入一个网站的域名，点击“查询”按钮，再在随后出现的“备案公共信息查询结果”页面中点击“详细信息”一栏中的“浏览”按钮，居然可以在“不需要任何特殊权限验证”的情况下查询到备案人的个人隐私资料，其中包括了备案人的详细住址信息等（如图）！





　　在此，笔者希望该备案系统的设计方“北京哈工大科技发展有限公司”对此漏洞作出修复，在查询备案人隐私信息方面，加一道特殊权限的验证，也就是“只允许国家相关管理部门访问”，而不对公众进行开放，否则备案人的个人隐私将难以得到保障！

问题二： 备案者的隐私信息可以被批量下载

　　接上面的问题，在“备案公共信息查询详细信息”结果页中，可以看到地址栏中呈现的地址是以“ http://www.miibeian.gov.cn/chaxun/ggcx_ok_1.jsp?ztid=??????? ”形式出现的，地址最后的数字，也就是“ztid=???????”更改为其它数字，即可在无任何特殊权限验证的情况下，泄露其他备案人的详细信息，这样将导致所有备案人的详细信息都可以用下载工具直接下载到！

　　第二个漏洞之前在微软公司赠送SP补丁光盘时出现过，但微软公司很快就对那个漏洞进行了修复。而在此，希望信产部的相关技术人员在看到此报道后，也能尽快修复这个漏洞，以免给更多的备案人造成损失！

　　截至笔者发稿时为之，信产部电话 010-95169001 始终都无法打通，语音提示“对不起，人工坐席忙，稍后为你接通”，然后便自动挂断了。