年度網(wǎng)站安全報(bào)告：26%電商網(wǎng)站存高危漏洞

2015-01-27 10:27:34

大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

日前，國(guó)內(nèi)最大的互聯(lián)網(wǎng)安全公司360（NYSE:QIHU）發(fā)布了《2014年中國(guó)網(wǎng)站安全報(bào)告》（以下簡(jiǎn)稱《報(bào)告》），《報(bào)告》指出，2014年，網(wǎng)絡(luò)安全問(wèn)題呈現(xiàn)網(wǎng)站漏洞大規(guī)模爆發(fā)、大量隱私泄露等重大安全事件高發(fā)和網(wǎng)站攻擊開(kāi)始規(guī)?；a(chǎn)業(yè)化等顯著特點(diǎn)。預(yù)計(jì)2015年，網(wǎng)站攻擊與漏洞利用將更加規(guī)?；?，安全形勢(shì)不容樂(lè)觀。
存在后門(mén)的網(wǎng)站數(shù)量大幅攀升
《報(bào)告》披露，目前有漏洞和高危漏洞的網(wǎng)站比例較2013年大幅下降，但網(wǎng)站存在后門(mén)的比例和絕對(duì)數(shù)量卻大幅攀升。2014年全年，360網(wǎng)站安全檢測(cè)共對(duì)覆蓋網(wǎng)站199.6萬(wàn)個(gè)的8409臺(tái)網(wǎng)站服務(wù)器進(jìn)行了網(wǎng)站后門(mén)檢測(cè)，發(fā)現(xiàn)約3465臺(tái)服務(wù)器存在后門(mén)，占比41.2%，比2013年增多了7.4個(gè)百分點(diǎn)。

                     圖1:2013年、2014年服務(wù)器被植入后門(mén)狀況對(duì)比

    后門(mén)是一段惡意代碼，攻擊者通過(guò)植入這段精心設(shè)計(jì)的代碼來(lái)控制網(wǎng)站，同時(shí)，還可以獲得某些敏感的信息，進(jìn)一步獲得服務(wù)器的控制權(quán)限。后門(mén)一般具有很強(qiáng)的隱蔽性，從而來(lái)達(dá)到長(zhǎng)期控制網(wǎng)站的目的。
    無(wú)論是網(wǎng)站服務(wù)器后門(mén)還是網(wǎng)站漏洞，都極易被黑客所利用。這些漏洞或被黑客利用于盜取銀行卡賬號(hào)密碼，或者通過(guò)漏洞植入木馬進(jìn)行破壞。此前有媒體報(bào)道稱，大量12306網(wǎng)站用戶信息遭泄露，即是網(wǎng)站漏洞所致；而另有媒體報(bào)道稱，網(wǎng)管員王某利用263企業(yè)郵箱服務(wù)器的漏洞，登錄管理員賬號(hào)，導(dǎo)出1.6萬(wàn)余組企業(yè)通訊錄，則是服務(wù)器漏洞被利用。
電商類(lèi)網(wǎng)站安全形勢(shì)堪憂
   《報(bào)告》顯示，2014年全年，360網(wǎng)站安全檢測(cè)平臺(tái)（http://webscan.360.cn）共掃描各類(lèi)網(wǎng)站164.2萬(wàn)個(gè)，其中存在安全漏洞的網(wǎng)站61.7萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的37.6%；存在高危安全漏洞的網(wǎng)站共27.9萬(wàn)個(gè)，占掃描網(wǎng)站總數(shù)的17.0%。有漏洞和有高危漏洞的網(wǎng)站比例都較2013年大幅下降。

                           圖2：電商類(lèi)網(wǎng)站高危漏洞最多
    分行業(yè)看，電子商務(wù)類(lèi)網(wǎng)站存在高危漏洞的比例最高，達(dá)到26%；其次為生活信息類(lèi)（24%）、醫(yī)療衛(wèi)生類(lèi)（22%）和企業(yè)公司類(lèi)（21%）。銀行類(lèi)網(wǎng)站相對(duì)安全性較高，存在高危漏洞比例最低。
    相較于2013年，電子商務(wù)類(lèi)網(wǎng)站雖然有高危漏洞的網(wǎng)站比例下降了3個(gè)百分點(diǎn)，但排名卻從第四名躍升為第一名，安全性在各行業(yè)網(wǎng)站中最為堪憂。
由于電商網(wǎng)站自身的特殊性，電商網(wǎng)站服務(wù)器中保有大量用戶個(gè)人信息和財(cái)務(wù)信息，因此電商網(wǎng)站安全漏洞危害極大，一旦被犯罪分子利用，將給網(wǎng)站本身和網(wǎng)站用戶乃至互聯(lián)網(wǎng)安全帶來(lái)極大的危害。不法分子利用電商網(wǎng)站的漏洞通常會(huì)篡改網(wǎng)站內(nèi)容，利用支付鏈接URL跳轉(zhuǎn)對(duì)消費(fèi)者進(jìn)行釣魚(yú)等；盜取用戶賬戶，進(jìn)行惡意消費(fèi)；盜取電商網(wǎng)站數(shù)據(jù)庫(kù)，用于詐騙等違法行為。
    從各個(gè)行業(yè)網(wǎng)站安全漏洞修復(fù)周期來(lái)看，音樂(lè)影視類(lèi)、政務(wù)網(wǎng)站漏洞平均修復(fù)周期最長(zhǎng)，分別為97天和86天，對(duì)網(wǎng)站安全意識(shí)有待提高；而游戲網(wǎng)站、醫(yī)療衛(wèi)生類(lèi)網(wǎng)站修復(fù)漏洞平均周期較短，分別為65天和66天，此幾類(lèi)網(wǎng)站修復(fù)漏洞所需時(shí)間要比音樂(lè)影視類(lèi)網(wǎng)站少一個(gè)月左右。
全球十大網(wǎng)站安全事件四起發(fā)生在中國(guó)
    《報(bào)告》總結(jié)了2014年全球范圍內(nèi)的十起網(wǎng)站安全事件，包括“OpenSSL心臟出血漏洞”、“eBay數(shù)據(jù)泄漏”、“索尼被黑客攻擊”等，在去年的網(wǎng)站安全事件中，有四起發(fā)生在中國(guó)。
    據(jù)了解，“121中國(guó)互聯(lián)網(wǎng)DNS大劫難”、“攜程漏洞事件”、“中國(guó)快遞1400萬(wàn)信息泄露”、“12306用戶數(shù)據(jù)泄露”這四起網(wǎng)站安全事件在全社會(huì)造成了巨大影響。
《報(bào)告》認(rèn)為，根據(jù)去年發(fā)生的多起網(wǎng)站安全事件來(lái)看，網(wǎng)站攻擊與漏洞利用正在向批量化，規(guī)模化方向發(fā)展，主要表現(xiàn)在以下五個(gè)方面：撞庫(kù)攻擊越演越烈、全網(wǎng)知識(shí)庫(kù)大大豐富、建站系統(tǒng)漏洞被廣泛利用、新漏洞發(fā)現(xiàn)與利用的速度越來(lái)越快、第三方代碼托管平臺(tái)被攻擊。
    針對(duì)網(wǎng)站安全事件頻發(fā)的現(xiàn)象，《報(bào)告》專門(mén)針對(duì)發(fā)起攻擊的地域做了研究。研究發(fā)現(xiàn)，91.4%的攻擊者IP來(lái)自境內(nèi)，來(lái)自境外的攻擊僅為8.6%。其中，境內(nèi)攻擊主要來(lái)自北京（32.9%）、江蘇（13.9%）、浙江（11.4%）、山東（10.0%）、廣東（7.40%）。

                              圖3：發(fā)起網(wǎng)站漏洞攻擊的地域分布
    值得一提的是，2014年，360補(bǔ)天平臺(tái)共收錄2490名“白帽子”提交的有效0day漏洞24724個(gè)，平均每個(gè)月收錄有效的0day漏洞2060個(gè)，平均每天收錄有效0day漏洞70個(gè)。
    補(bǔ)天平臺(tái)是360互聯(lián)網(wǎng)安全中心推出的國(guó)內(nèi)首個(gè)現(xiàn)金獎(jiǎng)勵(lì)漏洞平臺(tái)，旨在建立企業(yè)與白帽子之間的橋梁，幫助企業(yè)建立SRC(安全應(yīng)急響應(yīng)中心)。
    據(jù)悉，曾發(fā)生用戶數(shù)據(jù)泄漏的12306等網(wǎng)站均已加入360補(bǔ)天平臺(tái)以獲得查補(bǔ)網(wǎng)站漏洞的技術(shù)協(xié)助。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊