2015 年 中国网站安全报告 2015 年 12 月 22 日 �摘 要 网站漏洞 2015 年全年,360 网站安全检测平台共扫描各类网站 231.2 万个;其中,存在安全漏洞 的网站为 101.5 万个,占扫描网站总数的 43.9%;存在高危安全漏洞的网站共有 30.8 万 个,占扫描网站总数的 13.0%。 360 网站安全检测平台全年共扫描发现网站高危漏洞 265.1 万次,较 2014 年的 462.1 万 次下降了约一半;扫描发现网站高危漏洞的比例为 21.7%,中危占 10.2%,低危占 68.1%。 与 2014 年相比,今年高、中危漏洞扫出比例大幅下降。 2015 年(截至 11 月 18 日)补天共收录的各类网站漏洞总数为 37943 个,平均每月 3161 个。其中,高危漏洞占比为 71.2%;从漏洞性质上看,事件型漏洞占 86.3%,通用型漏 洞占比 13.7%。 网站修复安全漏洞比例极低,仅为 4.7%;在已修复的比例中,24 小时内修复的比例为 10.3%,2-3 天内修复的比例为 14.1%,4-7 天内修复的比例为 23.8%,其余修复周期大 于一周(7 天)的占一半以上。 网站篡改与后门 2015 年全年,360 网站安全检测平台共扫描各类网站 231.2 万个,其中,被篡改的网站 8.4 万个,约占扫描网站总数的 3.6%,网站遭篡改情况明显好转。 2015 年全年,360 网站安全检测共对 21854 台网站服务器进行了网站后门检测,覆盖网 站 322.3 万个, 扫描共发现约 4097 台服务器存在后门,占所有扫描网站服务器的 18.7%。 2015 已扫出各类网站后门文件样本数量多达 858.1 万个,与 2014 年“一句话木马”占 到了网站后门 69.2%的情况不同,今年恶意 SEO 后门的占比最高,为 45.0%;不过感 染网站服务器最多的木马依然是“一句话木马” 。 漏洞攻击 2015 年全年,360 网站卫士共拦截各类网站漏洞攻击 16.5 亿次,平均每月拦截漏洞攻 击近 1.4 亿次。 2015 年平均每月有 17.1 万个网站遭遇各类漏洞攻击,其中,1 月是网站遭遇漏洞攻击 最为频繁的一个月,平均每天约有 8290 个网站遭到漏洞攻击。 从攻击类型看,2015 年,SQL 注入攻击最多,拦截次数超过 8 亿次,其次为 Nginx 漏 洞攻击、命令注入攻击(Common Vulnerability)。 从发起漏洞攻击 IP 的地域分布来看,90.2%攻击者 IP 来自境内地区,来自境外的攻击 仅为 9.8%,境内占比较 2014 年增长 1.2 个百分点;其中,境内攻击者 IP 归属地排名前 �三依次是:浙江 31.5%、江苏 28.3%、北京 19.0%。境外攻击者 IP 归属地排名前三依次 是:法国 43.5%、美国 29.8%、荷兰 3.0%。 从遭到漏洞攻击 IP 的地域分布来看,95.7%受害者 IP 为境内地区 IP,境外的受害者仅 为 4.3%。其中,境内遭到漏洞攻击最多的地区是北京 17.7%、江苏 13.2%和山东 11.0%。 网站安全性行业分析 2015 年补天平台已收录的网站漏洞中,备案网站的漏洞为 28040 个,占比为 73.9%, 未备案或备案已过期的网站漏洞 9903 个,占比为 26.1%。漏洞共涉及 22084 个网站。 从漏洞性质看,没有备案的网站存在的漏洞中,通用型漏洞比例达到 52.1%,而备案网 站中通用型漏洞比例很低,仅为 0.2%,说明备案网站的安全性明显高于未备案网站。 从五种不同备案类型看,企业网站报告的漏洞最多,达 14981 个,高危漏洞 10092 个, 漏洞涉及 11453 家企业网站;其次是事业单位网站,被报漏洞 6504 个,高危漏洞 4339 个,漏洞涉及 5179 家事业单位网站;政府网站排第三,被报漏洞 3941 个,高危漏洞 2805 个,漏洞涉及 3315 家政府网站。 从修复率上看,企业网站的修复率是最高的,但也只有 6.5%;政府网站的漏洞修复率 在所有备案类型网站中排名垫底,仅为 1.8%;这与普通网民对政府网站的信赖度相对 较高的情况非常不相称。 在七类行业网站中,共有漏洞 5995 个,涉及网站 4280 个。IT/互联网行业网站被报告 的漏洞最多,达到 2330 个,高危漏洞 1463 个,漏洞涉及网站 1535 个;其次为教育培 训,被报漏洞 1169 个,高危漏洞 741 个,漏洞涉及网站 914 个;汽车交通排第三,被 报漏洞 799 个,高危漏洞 525 个,漏洞涉及网站 625 个。 从修复率上看,金融行业网站的修复率最高,但也仅为 17.3%。其他修复率超过 10%的 行业有两个,分别为 IT/互联网、汽车交通。而教育、能源、医疗卫生三个细分行业的 修复情况不容乐观,修复率仅约为 1.8%-3.4%之间。 个人信息泄漏 补天平台统计显示,2015 年共有 1410 个漏洞可能造成网站上的个人信息泄露,这些漏 洞共涉及网站 1282 个,可能或已造成泄露的个人信息量高达 55.3 亿条。 补天平台中的泄露信息漏洞中,共有 4 个漏洞可以造成 1 亿条以上的个人信息泄露,可 能泄露个人信息量在 6000 万到 1 亿之间的漏洞共有 11 个。 存在泄露信息漏洞的 1068 个备案网站中,企业网站占比最高,达 63.0%,政府、事业 单位、个人、社会团体网站的占比分别为 20.1%、11.8%、4.1%和 1.1%。 行业对比方面,IT/互联网网站可能泄漏的个人信息最多,为 5.23 亿条;其次是医疗卫 生网站 2.40 亿条;电信运营商 1.97 亿条;金融理财网站 1.10 亿条;汽车交通网站 5418 万条;教育培训 2462 万条。 行业对比方面,从平均每个漏洞泄露的信息量来看,医疗卫生行业排在首位,平均每个 �泄露信息漏洞可能导致 961 万条个人信息泄露,其次是电信运营商 563 万条/洞, IT/ 互联网 291 万条/洞。 行业对比方面,从泄露信息漏洞的修复率来看,金融理财网站的修复率最高,达 34.1%; 其次是 IT/互联网 10.6%;接下来依次是汽车交通 6.9%,电信运营商 2.9%。医疗卫生和 教育培训类网站的泄露信息漏洞修复率为 0。 补天年报 2015 年,补天平台共收到 2035 名“白帽子”提交的有效漏洞 37943 个,其中有 581 名 白帽子获得奖金共计 227.3 万元;事件型漏洞付款金额为 70.6 万元,通用型漏洞付款金 额为 156.7 万元。 2015 年,补天平台获奖的白帽子中, “合肥滨湖虎子”获得奖金金额最高,已经连续三 年排名第一。该名白帽子共提交漏洞 431 个,获得奖金 123800 元。 2015 年,共有 57 名女性白帽子提交了 817 个漏洞,其中有 18 名女性白帽子,获得了 共 2.5 万元的奖励。女性在白帽子中仍然是非常稀缺的资源。 根据白帽子的注册信息统计,在 2015 年向补天平台提交漏洞的白帽子中,年龄最小的 13 岁,年龄最大的 78 岁。90 后比例达 67.8%。 网站安全热点与趋势 2015 年网站安全热点问题主要集中在以下几个方面:信息泄漏、物联网、车联网、P2P 金融、O2O 本地服务、Java 反序列化漏洞、weblogic 弱口令漏洞和登陆验证机制缺陷 等几个方面。 2015 年网站安全技术主要有以下几个前沿趋势:一、数据驱动安全将引领技术潮流; 二、威胁情报将成市场关注的焦点;三、机器学习与可视化技术迅速发展;四、云平台 将涌现更多“安全即服务”形式。 关键词:漏洞、篡改、后门、备案、行业分析、信息泄露、补天平台 �目录 摘 要 .................................................................................................................................................. 1 第一章 网站漏洞分析 ......................................................................................................................... 1 一、 网站漏洞扫描分析 ................................................................................................................. 1 二、 网站漏洞报告分析 ................................................................................................................. 3 三、 漏洞修复率低的原因分析 ..................................................................................................... 6 第二章 网站篡改与后门 ..................................................................................................................... 8 一、 网站篡改分析 ......................................................................................................................... 8 二、 网站后门分析 ......................................................................................................................... 9 第三章 网站漏洞攻击分析 ....................................
2015-《2015年中国网站安全报告》
温馨提示:如果当前文档出现乱码或未能正常浏览,请先下载原文档进行浏览。
本文档由 侯茹 于 2022-05-18 14:47:21上传分享
