广州白云国际广告有限公司定谊平台软件漏洞修复和维护服务项目

发布时间:2023年05月15日 【字号:
项目编号:20230515-00856
报名截止时间:2023年05月22日 17时00分00秒
开始竞价时间:2023年05月25日 09时00分00秒 结束竞价时间:2023年05月26日 12时00分00秒
当前时间: 参与竞价
还没有注册供应商?
供应商注册
(一)招标采购业务:马小姐:020-86130371
          潘先生:020-36067950(广州白云国际机场股份有限公司及其下属单位)
(二)固定资产拍卖、竞拍:郑先生:020-86127769
(三)招商、物业租赁业务:周小姐:020-86133750
请以供应商身份登录,再进行报价!
用户名:
密 码:
Cookie:

广州白云国际广告有限公司定谊平台软件漏洞修复和维护服务项目

      网上竞价采购文件


各报价人:

广州白云国际广告有限公司(以下简称采购人”)现就广州白云国际广告有限公司定谊平台软件漏洞修复和维护服务项目,邀请有相应资合作商(以下简称报价人”)进行网上竞价。

.项目概况

1.项目名称:广州白云国际广告有限公司定谊平台软件漏洞修复和维护服务项目

2.竞价项目内容

2.1漏洞修复清单:

序号

漏洞内容

漏洞描述

1

上传媒体文件处存在上传getshell漏洞

Web程序中,通常会涉及到一些文件上传的功能,如头像上传、图片上传、附件上传等,由于Web中间件会根据用户的请求去执行特定后缀的文件(aspphpcgiaspxjsp等),如果在上传文件的功能中未限制上传文件的后缀,导致可以上传“aspphpcgiaspxjsphtml”等后缀的执行文件时,那么攻击者可以利用此漏洞上传恶意的可执行文件来执行恶意的代码,比如文件读写、命令执行,这样即可直接控制服务器。

2

搜索处存在sql注入漏洞

结构化查询语言(Structured Query Language)简称SQL,是一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统同时也是数据库脚本文件的扩展名

Web程序中,通常会使用SQL指令来查询、更新数据库数据,通常查询或者更新数据会带有一些条件,而这些条件通常是提供给用户输入的,那么恶意用户即可通过修改相关条件来执行恶意的SQL指令来获取或更新数据库的数据,甚至在数据库账号权限较高的情况下,可以插入恶意SQL指令来调用数据库中的特殊函数来向服务器读、写文件或者执行操作系统命令。

3

播放列表存在存储型xss漏洞

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(htmljavascriptcss等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

通常攻击者会利用此漏洞来执行恶意JavaScript脚本,通过“document.cookie”来获取用户登录的身份会话信息,并发送到攻击者的服务器,攻击者通过获取到的Cookie信息,即可以被攻击者的身份访问Web应用。

4

播放器处存在存储型xss漏洞

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(htmljavascriptcss等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

通常攻击者会利用此漏洞来执行恶意JavaScript脚本,通过“document.cookie”来获取用户登录的身份会话信息,并发送到攻击者的服务器,攻击者通过获取到的Cookie信息,即可以被攻击者的身份访问Web应用。

通常XSS分为存储型和反射型。

反射型XSS,又称非持久型XSS,之所以称为反射型XSS,则是因为这种攻击方式的注入代码是从目标服务器通过错误信息、搜索结果等等方式“反射”回来的。而称为非持久型XSS,则是因为这种攻击方式具有一次性。攻击者通过电子邮件等方式将包含恶意代码的链接发送给受害者,当受害者点击该链接时,恶意代码被传输到目标服务器上,然后服务器将恶意代码“反射”到受害者的浏览器上,从而在该浏览器上执行了恶意攻击脚本。目前大多数浏览器都具有反射型XSS保护功能,所以相对来说反射型的危害相对较低。

储存型XSS,又称持久型XSS,它和反射型XSS最大的不同就是,攻击脚本将被永久地存放在目标服务器的数据库或文件中。这种攻击多见于论坛、SNS社交网站、微博等系统,攻击者在发帖、发表文章、发微博的过程中,将恶意脚本连同正常信息一起注入到内容之中,发送到网站服务器储存下来,恶意脚本也永久地被存放在论坛服务器的后端储存器中,当其他用户浏览这个被注入了恶意脚本的内容时,恶意脚本则会在他们的浏览器中得到执行,从而实现攻击目的。

5

紧急事件存在存储型xss漏洞

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(htmljavascriptcss等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击用户的特殊目的。

通常攻击者会利用此漏洞来执行恶意JavaScript脚本,通过“document.cookie”来获取用户登录的身份会话信息,并发送到攻击者的服务器,攻击者通过获取到的Cookie信息,即可以被攻击者的身份访问Web应用。

通常XSS分为存储型和反射型。

反射型XSS,又称非持久型XSS,之所以称为反射型XSS,则是因为这种攻击方式的注入代码是从目标服务器通过错误信息、搜索结果等等方式“反射”回来的。而称为非持久型XSS,则是因为这种攻击方式具有一次性。攻击者通过电子邮件等方式将包含恶意代码的链接发送给受害者,当受害者点击该链接时,恶意代码被传输到目标服务器上,然后服务器将恶意代码“反射”到受害者的浏览器上,从而在该浏览器上执行了恶意攻击脚本。目前大多数浏览器都具有反射型XSS保护功能,所以相对来说反射型的危害相对较低。

储存型XSS,又称持久型XSS,它和反射型XSS最大的不同就是,攻击脚本将被永久地存放在目标服务器的数据库或文件中。这种攻击多见于论坛、SNS社交网站、微博等系统,攻击者在发帖、发表文章、发微博的过程中,将恶意脚本连同正常信息一起注入到内容之中,发送到网站服务器储存下来,恶意脚本也永久地被存放在论坛服务器的后端储存器中,当其他用户浏览这个被注入了恶意脚本的内容时,恶意脚本则会在他们的浏览器中得到执行,从而实现攻击目的。

6

找回密码处存在暴力破解漏洞

找回密码页面没有使用验证码作为增强验证方式、密码错误次数限制双因子认证等缺乏防暴力破解机制。

7

口令策略

系统应禁止用户适用弱口令,一旦检查到弱口令,应强制用户进行修改。密码长度最小值:8位,密码最长使用期限:90天。

8

密码登录没有限制失败次数

系统应限制密码登录失败次数大于5次禁止登陆10-30分钟(可调限制登录时间)。

9

系统未设置登录超时自动退出

系统设置“活动但空闲的会话时间的限制”15分钟。

 

2.2维护服务:签订合同后报价人提供一年维护服务(包括技术咨询、技术指导、故障处置、定谊信息发布系统安全性漏洞修复等),同时一年内采购人发现其它漏洞,报价人免费提供漏洞修复。

报价为最终含增值税价格,包括开发费、安装费、调试费、一年服务费、税费等各项费用,须提供正规、合法的增值税专用发票。如无法提供正规、合法的增值税专用发票,我司有权作废标处理。报价一经我公司认可,即为签订合同的最终依据。

除此以外,采购人无需为上述约定的项目和服务再支付任何费用。

3.项目限价:人民币120,000.00元(含税价)。

二、报价文件有效期

报价文件应在报价截止日90天内有效成交人的报价有效期延至合同验收之日。

三、服务期限

1.漏洞修复:自签订合同后90日内。

2.维护服务:自签订合同后1年。

四、报名时间

*1.项目报名及资格审查资料提交和截止时间为2023516900202352217:00(注:项目报名和资格审查起始时间应不少于5个工作日)(报名截止时间以系统服务器时间为准)。

*2.若因项目需要,采购人须延长资格审查时间的,采购人将在交易平台发布变更通知的方式通知报价人后适当延长资格审查时间。报价人应及时登陆交易平台查看项目“变更记录”(项目资格审查时间延期情况),因报价人原因导致参与项目报价失败的一切后果,由报价人自行承担。  

五、合格报价人资格条件(按采购文件要求进行承诺):

*1.报价人为企业的,应提交营业执照和组织机构代码证的复印件(按照“三证合一”或“ 五证合一”登记制度进行登记的,可仅提供营业执照复印件并加盖公章);报价人为依法允许经营的事业单位的,应提交事业单位法人证书和组织机构代码证的复印件加盖公章)

*2.报价人需登录广东省机场管理集团有限公司资源交易平台(以下简称“交易平台”)(平台地址:http://wz.gdairport.com/),点击首页“采购项目”,进入“用户中心”进行合作商注册。注册成功的报价人才能通过该网站参与竞价。

3.在最近三年内未发生重大产品质量或服务问题情形。

*4.法定代表人(或负责人)为同一人或者存在控股、管理关系的不同单位,不得参加同一项目报价,否则全部取消资格。

5.报价人必须取得定谊科技(北京)有限公司针对本项目的原厂商授权书,授权书必须加盖原厂商公章,原件备查。

*6.不存在进入清算程序,或被宣告破产,或其他丧失履约能力的情形。

*7不得被列入国家企业信用信息公示系统的经营异常名录或严重违法失信企业名单,以“国家企业信用信息公示系统”网站(www.gsxt.gov.cn)查询为准,报价人需从“国家企业信用信息公示系统”网站截图并加盖公章或电子签章(未按格式要求截图或截图信息不清晰将作废标处理)。

*8不得被列为“严重失信主体名单”,以“信用中国”网站(www.creditchina.gov.cn)查询为准,报价人需按采购文件给定的格式要求从“信用中国”网站截图并加盖公章(未按格式要求截图或截图信息不清晰将作废标处理)。

*9.报价人不得存在以下情形:

9.1采购人、采购人及其关联公司在本公告发布之日起前三年内发生各种诉讼和仲裁

9.2 报价人、法定代表人及项目负责人被列入广东省机场管理集团有限公司不予合作对象名单且在限制期内

9.3报价人、法定代表人及项目负责人存在国家、省市相关法律法规和行业有关规定不得参与采购活动的情形

9.4在本公告发布之日起前三年内,报价人因腐败或欺诈行为而被政府或业主宣布取消投标资格。

9.5存在其它失信情况的。

关联公司:是指采购人所全资、控股的各公司以及采购人所属的各非法人实体单位。

*10.报价人应对采购人以下“合作商不诚信行为的确定条件进行响应,并提供承诺书:

10.1参与本项目的报价人,有下列情形之一的,将被列入采购人不予合作对象名单:

10.1.1通过向采购人提供不正当利益谋取成交;

10.1.2借用他人名称、资质进行挂靠,或者将自己的名称、资质借给他人挂靠进行报价,或以其他方式弄虚作假,骗取成交;

10.1.3采取不正当手段诋毁、排挤其他合作对象;

10.1.4在采购过程与采购人相关工作人员私下进行协商谈判,损害采购人或其他报价人利益;

10.1.5针对资格审查文件、采购文件或者在资格预审公示或成交候选人公示期间,故意捏造事实、伪造证明材料,恶意进行质疑,影响采购工作顺利推进;

10.1.6存在围标串标行为;

10.1.7采购人成交通知书发出后,报名人拒绝签订合同(因不可抗力原因不能履行合同的除外);

10.1.8自采购公告发布之日起前三年内与采购人以及关联公司发生诉讼或仲裁的报价人

10.1.9发生向采购人及其关联公司的有关工作人员行贿情形;

10.1.10参与采购人非招标采购活动进行两次(含)以上无效异议的合作对象,因其无效异议对采购人以及关联公司造成经济损失、工作滞后的,可纳入非招标采购项目不予合作名单。具有下列情形之一的,应视为无效异议:

——异议主体不是报价人或其他利害关系人;

——报价人是法人的,异议书必须由其法定代表人或者授权代表签字并盖章;其他组织或者自然人投诉的,异议书必须由其主要负责人或者投诉人本人签字,并附有效身份证明复印件;

——异议人未提供必要的证明材料和明确的要求;

——异议人捏造事实、伪造材料或者以非法手段取得证明材料进行异议的,证据来源的合法性存在明显疑问,异议人无法证明其取得方式合法的,视为以非法手段取得证明材料;

——其他属无效异议的情形。

10.2成交报价人在合同履行,项目实施、运行阶段,有下列情形之一的,列入不予合作对象名单:

10.2.1不按采购文件要求,报价文件承诺的条件与采购人签订合同,或在合同签订中存在欺诈情形,违反采购文件规定,对采购人或关联公司不利;

10.2.2违反合同约定,将承揽项目转包或违法分包给他人;

10.2.3因成交报价人责任原因连续发生不安全事件、事故或造成恶劣不良影响;

10.2.4使用的设备、材料以次充好或提供与合同不符的假冒伪劣产品等降低质量情形或造成不良影响;

10.2.5因环保、噪音问题造成社会恶劣影响;

10.2.6拖欠农民工工资,造成恶劣影响的,或发生上访维稳事件,或导致采购人或关联公司垫付农民工工资;

10.2.7虚报工程量或设备、材料结算量,拒不接受第三方咨询单位按合同约定审定的工程造价,设备、材料数量,造成工程延误、设备材料到货期延误、结算滞后;

10.2.8拒绝履行合同主要条款,造成合同无法正常履约;

10.2.9因严重违约被采购人依法单方解除合同;

10.2.10存在向采购人或关联公司相关工作人员行贿等不廉洁情形。

11.服务期完全符合采购公告要求。

六、投诉监督方式  

报价人可以对本次竞价活动中的任何违法及不公平内容向广州白云国际广告有限公司党群纪检室进行实名投诉。  

联系电话:020-86130980

七、采购人联系方式  

采购单位名称:广州白云国际广告有限公司

联系人:邵先生 

联系电话:020-86135281

邮箱:149701904@qq.com

地址:广州白云国际机场南工作区股份公司中区礼堂6、7楼


附件:广州白云国际广告有限公司定谊平台软件漏洞修复和维护服务项目竞价文件_附件:广州白云国际广告有限公司定谊平台软件漏洞修复和维护服务项目竞价文件.doc



附件下载