哈工大的五名研究人员发表了一篇预印本,分析了近 1.4 万个政府网站,称安全隐患严重。研究人员分析了域名解析、第三方库利用、CA 服务、CDN 服务、ISP、HTTPS 普及、IPv6 集成、DNSSEC 实施和网站性能。他们发现,逾四分之一的政府网站域名没有域名服务器(NS)纪录,意味着可能缺乏有效的 DNS 配置,可能不可靠或无法访问;过于依赖五家 DNS 服务商,存在单点故障隐患;4250 个网站系统使用了漏洞版本的 jQuery JavaScript 库,含有 CVE-2020-23064 漏洞,容易被远程攻击;中移动、中电信、中联通和阿里云四家 ISP 占据了 98.29% 的市场份额;10,187 个网站未配置 X-Content-Type-Options,易受 MIME 类型欺骗攻击;10,323个网站未设置内容安全策略(CSP)标头,增加跨站脚本攻击的风险; 8,182 个网站缺乏反 CSRF 令牌,易受跨站点请求伪造 (CSRF)攻击;3,203 个网站内容安全策略包含通配符指令;8,158 个网站缺少反点击劫持标头,易受点击劫持攻击;3,313 个网站未启用 Cookie 的 HttpOnly 属性;6,624 个网站的 cookie 缺少 SameSite 属性;1,069 个网站会泄露了私有 IP 地址信息,可能会泄露系统架构敏感信息。研究人员认为这些问题可能无法短时间内解决。
https://www.theregister.com/2024/05/03/china_gov_web_vuln/?td=rt-3a
https://www.researchsquare.com/article/rs-4275987/v1