根据兰州市公安局安宁分局网安大队《关于“3044永利官网vip华夏文化云”存在安全隐患的情况通报》文件要求，我院图书馆数据科和华夏文化资源云平台项目组与华夏文化云APP开发商甘肃河图信息科技有限责任公司进行了对接，按照通报问题迅速处理存在的隐患，并提出整改意见。现将有关整改情况报告如下。

一、存在问题

2022年3月22日下午，华夏文化云APP开发商甘肃河图信息科技有限责任公司两名工作人员来我院会同院图书馆数据科数据维护人员以及华夏文化资源云平台项目组有关人员对照安全监督检查发现的问题实地进行了检查处理，逐一对照问题，迅速修补隐患，并对华夏文化云APP进行了彻底检查。检查显示，华夏文化云APP存在验证码回显导致任意用户修改密码问题，与安全监督检查发现的问题相符。

问题描述：因华夏文化云APP重置密码时获取手机验证码接口返回验证码，导致可通过抓包工具获取到任意用户验证码。

二、问题处理

1.修改业务功能，用户获取验证码后直接将验证码发送到用户手机，不返回验证码。

2.更新修改后的业务代码。

3.测试找回密码功能，验证用户点击获取验证码后是否回显验证码。

4.测试通过，用户获取验证码后直接发送到用户手机，不再回显验证码。

针对检测结果，我院华夏文化云APP以及华夏文化云CRCP微信公众号在XSS跨站脚本攻击、敏感数据保护等方面确实存在一些问题。对于安全监督检查情况通报中所述问题，我院网络安全技术人员会同甘肃河图信息科技有限责任公司技术人员共同对整个华夏文化云APP、华夏文化云CRCP微信公众号进行了XSS跨站脚本攻击、敏感数据保护等方面的排查，并根据通知中的建议完全修复了存在的问题。

三、下一步工作打算

1.强化安全意识。加强工作人员及专业技术人员网络安全知识教育，认真学习网络安全知识及网络信息保密的相关法律法规，牢固树立“网络安全无小事”的思想理念，强化网络安全的风险意识、责任意识、保密意识，规范上网行为。

2.提高防范能力。进一步完善安全防范措施，提高网络安全防范意识，有效增强华夏文化云APP及华夏文化云CRCP微信公众号对有害信息的防范能力和防泄密水平。

3.提升自查水平。定期由我院网站维护人员做好网络安全自查和风险评估工作，重点检查跨站脚本攻击、敏感数据保护等问题，以查促管、以查促防。

附件：3044永利官网vip华夏文化资源云网络安全隐患处置上报信息表

3044永利官网vip

2022年3月24日