smarteye等保测评反馈

序号

原因

整改要求

风险等级

整改时间

费用（元）

备注

1

应用系统存在删除用户功能，但未提供逻辑删除；已删除的账号能进行新增，无法保证系统整个生存周期不存在重复标识的用户

应用软件系统应支持用户唯一性标识。在每一个用户注册到系统时，采用用户名和用户标识符标识（UID）用户身份，并确保在应用软件系统整个生存周期用户标识的唯一性

高

可以不删除，改为禁用用户；二次开发。

2

客户端用户新建时，系统无鉴别信息复杂度检查功能；修改口令时有鉴别信息复杂度检查功能，用户口令可以设置低于8位，未强制保证至少包含大写字母、小写字母、数字、特殊字符中的两种组合，长度下限不低于8位；运营端未提供鉴别信息复杂度检查功能

应用软件系统应确保用户身份鉴别信息应不易被冒用，且提供鉴别信息复杂度检查功能

高

2025/03/07

3

客户端用户新建时，系统无鉴别信息复杂度检查功能；修改口令时有鉴别信息复杂度检查功能，用户口令可以设置低于8位，未强制保证至少包含大写字母、小写字母、数字、特殊字符中的两种组合，长度下限不低于8位；运营端未提供鉴别信息复杂度检查功能，客户端和运营端在涉及用户鉴别信息的场景中，用户口令可以与用户相同

应用软件系统应保证口令长度不少于8位，复杂度至少为数字、字母、特殊字符两种或两种以上的混合组合，且禁止与用户名相同

高

2025/03/07

4

新建用户初次登录时，未强制要求修改口令；系统重置口令功能，未强制要求修改口令，涉及修改口令场景新旧口令可以相同

用户初次登录时，应用软件系统应强制要求修改初始口令，且前后修改的口令不能完全相同

高

2025/03/10

5

系统角色间的业务操作权限可交叉任意分配，未保证不同用户角色间权限的互斥；

给用户分配角色时，可进行多项选择，互斥角色可同时赋予同一用户

应用软件系统应保证不同用户角色间权限互斥，且不允许将不同角色同时赋予同一用户

高

系统默认运行多种角色，暂不支持修改

6

系统客户端和运营端当前不具备会话非活动超时终止机制，当前会话无操作未自动结束会话，未限制在大于0且小于等于30分钟的范围内

应用软件系统应具备会话终止机制，当用户在一段时间内（不超过30分钟）未作任何响应，服务端应自动结束会话

高

2025/03/12

7

系统客户端和运营端，当用户口令、身份证号完整性被破坏时，系统均未校验出，应用系统未实现对重要数据提供传输完整性保护

应用软件系统应采用完整性校验机制保证重要业务数据等敏感信息在传输过程中的完整性，以防止非授权篡改

高

具体哪些接口需要整改？

如果是全部接口，时间非常长。

二次开发

8

系统未对身份证号码进行加密存储

应用软件系统应采用密码技术保证个人敏感信息（身份证、鉴别信息、薪酬等）和重要业务数据等敏感信息在文件系统、数据库中的存储保密性

高

身份证、手机号加密存储：3天

二次开发

9

系统未对身份证号码进行加密传输

应用软件系统应采用密码技术保证个人敏感信息（身份证、鉴别信息、薪酬等）和重要业务数据在传输过程中的保密性

高

使用https接口

10

应用软件系统已对身份证数据格式、邮箱等数据有效性做校验，未对手机号格式做校验

应用软件系统应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式、长度等符合系统设定要求

高

对用户的身份证、手机号格式做校验，2天

二次开发

11

SSRF漏洞

抓取运营端任意模块pprof。下载数据包

修改url参数为http://www.baidu.com

成功返回百度页面，通过服务器直接发起请求，故存在SSRF问题。（详情见—多功能智能安全帽管理平台渗透测试记录及报告）

添加白名单机制，只允许访问预定义的域名或 IP 地址，阻止所有其他请求。

限制服务器访问权限，服务器只能访问它真正需要的资源，避免泄露敏感信息。

高

2025/04/03

限制url参数

12

系统客户端和运营端登录页面均提供“记住密码”类功能

应用软件系统应不提供“记住密码”类功能

中

2025/03/26

运营端已整改

13

应用系统客户端未定义用户的休眠状态

应用软件系统应将长期（3个月及以上）未使用的用户自动置为休眠状态，处于休眠状态的用户无法登录，可由系统管理员激活后使用

中

每个用户都有使用有效期的参数，可自行配置或者禁用某个用户

14

系统连续登录失败账号锁定后，120秒计时解锁，未限制在30分钟以上

应用软件系统应具备用户账号连续登录失败的处理机制，连续登录失败次数（不超过10次）达到预设值的用户账号进行锁定，至少锁定30分钟或授权管理员解锁

2025/03/13

15

应用软件系统客户端和运营端均未提供用户口令有效期限制

应用软件系统应提供口令有效期（不超过6个月）限制功能，在鉴别身份之前，应能检验用户口令是否过期，并强制要求用户修改过期的口令，且新口令满足复杂度要求

中

2025/03/15

16

未提供独立的系统管理员角色，存在超管用户，未按各自功能将权限分配给安全管理员、安全审计员，不仅具有用户、组织机构管理、流程参数配置等权限，还具有审计日志记录的审计权限、角色管理、安全策略配置的安全管理权限和业务监控展示权限

应用软件系统应设置独立的系统管理员角色，仅赋予系统管理权限（用户管理、组织机构管理、流程与参数配置等系统级权限）对系统进行管理

中

可自行分配并管理账号权限

17

系统未提供独立的安全审计员角色

应用软件系统应设置独立的安全审计员角色，仅赋予系统审计相关权限（审计策略设置、审计日志查询以及审计数据备份等）对用户操作进行监督和事后追溯

中

可自行分配并管理账号权限

18

系统超管账号下具有角色权限管理、菜单权限管理、系统配置、黑白名单等相关安全需求，未提供独立的安全管理员角色

应用软件系统应设置独立的安全管理员角色，仅赋予权限管理、安全策略配置权限

中

可自行分配并管理账号权限

19

应用软件系统未提供系统管理员角色、安全审计员、安全管理员角色各至少一个初始化用户，且未保证初始化用户无法被删除、被修改权限、被修改角色

应用软件系统应提供系统管理员角色、安全审计员角色和安全管理员角色各至少一个初始化的用户（禁止删除、修改权限、修改角色）

中

可自行分配并管理账号权限

20

应用软件系统运营端禁止同一账户同时多点登录，但客户端未禁止同一账户同时多点登录，

应用软件系统应禁止同一账户同时多点登录

中

2025/03/15

21

应用软件系统未采用符合要求的检验算法实现对重要数据传输过程的完整性保护。

应用软件系统采用的完整性校验技术和强度应符合国家密码管理局及行业的相关要求，优先选择国产校验算法

中

使用https

22

应用软件系统未采用符合国家密码管理局及行业相关要求强度的加密算法对用户口令和身份证号进行加密存储、传输

应用软件系统采用的加密算法和强度应符合国家密码管理局及行业的相关要求，优先选择国产密码算法

中

当前软件系统不支持

23

系统操作出现错误时,应用软件系统返回中间件信息

应用软件系统出现异常时，应禁止返回与数据库、中间件等系统相关组件信息

中

如何复现

24

应用软件系统审计功能未正常记录越权访问操作

应用软件系统应提供覆盖到每个用户的安全审计功能，能对系统重要安全事件（如用户登录和退出、用户和授权增删改、参数配置、密码修改、越权访问、审计日志维护、数据导入导出、业务数据删除等）进行审计

中

有操作日志。

二次开发

25

应用软件系统审计日志中记录了用户身份证号信息

应用软件系统应保证审计日志不记录用户敏感信息和隐私信息（如口令、银行卡信息、身份证信息、薪酬信息等）

中

操作日志去掉用户”身份证号”、“手机号”数据。2天

二次开发

26

登录无审计权限用户访问审计功能模块，可以未授权访问，存在水平越权。

应用软件系统应确保审计记录不被破坏或非授权访问

中

2025/03/16

27

会话固定

多功能智能安全帽平台存在会话固定问题，它允许攻击者劫持用户的合法会话，从而冒充用户执行恶意操作。（详情见—多功能智能安全帽管理平台渗透测试记录及报告）

登录后重新生成会话ID

中

每次登录的会议token是变化的，登录请求能在一定时间内重放不好修改，除非修改登录步骤为两步。

28

敏感信息泄露

/center/js/login.c25eb77e.js

运营端前端文件中泄露了superadmin的默认密码，若系统未及时修改该密码存在权限丢失的风险。（详情见—多功能智能安全帽管理平台渗透测试记录及报告）

1、及时修改默认口令。

2、删除前端文件中默认密码相关信息。

中

2025/04/03

代码中可以隐藏默认密码。二次开发。