论坛 产品库 视频 专题 CIO俱乐部 Windows8 实验室 CMO俱乐部 案例

年度网站安全报告:26%电商网站存高危漏洞

发布时间:2015-01-09 20:37:00 来源:比特网 作者:周文
关键字:360 电商 漏洞 网站安全

  日前,国内最大的互联网安全公司360(NYSE:QIHU)发布了《2014年中国网站安全报告》(以下简称《报告》),《报告》指出,2014年,网络安全问题呈现网站漏洞大规模爆发、大量隐私泄露等重大安全事件高发和网站攻击开始规模化、产业化等显著特点。预计2015年,网站攻击与漏洞利用将更加规模化,安全形势不容乐观。

  存在后门的网站数量大幅攀升

  《报告》披露,目前有漏洞和高危漏洞的网站比例较2013年大幅下降,但网站存在后门的比例和绝对数量却大幅攀升。2014年全年,360网站安全检测共对覆盖网站199.6万个的8409台网站服务器进行了网站后门检测,发现约3465台服务器存在后门,占比41.2%,比2013年增多了7.4个百分点。

幻灯片37

  图1:2013年、2014年服务器被植入后门状况对比

  后门是一段恶意代码,攻击者通过植入这段精心设计的代码来控制网站,同时,还可以获得某些敏感的信息,进一步获得服务器的控制权限。后门一般具有很强的隐蔽性,从而来达到长期控制网站的目的。

  无论是网站服务器后门还是网站漏洞,都极易被黑客所利用。这些漏洞或被黑客利用于盗取银行卡账号密码,或者通过漏洞植入木马进行破坏。此前有媒体报道称,大量12306网站用户信息遭泄露,即是网站漏洞所致;而另有媒体报道称,网管员王某利用263企业邮箱服务器的漏洞,登录管理员账号,导出1.6万余组企业通讯录,则是服务器漏洞被利用。

  电商类网站安全形势堪忧

  《报告》显示,2014年全年,360网站安全检测平台(http://webscan.360.cn)共扫描各类网站164.2万个,其中存在安全漏洞的网站61.7万个,占扫描网站总数的37.6%;存在高危安全漏洞的网站共27.9万个,占扫描网站总数的17.0%。有漏洞和有高危漏洞的网站比例都较2013年大幅下降。

幻灯片31

  图2:电商类网站高危漏洞最多

  分行业看,电子商务类网站存在高危漏洞的比例最高,达到26%;其次为生活信息类(24%)、医疗卫生类(22%)和企业公司类(21%)。银行类网站相对安全性较高,存在高危漏洞比例最低。

  相较于2013年,电子商务类网站虽然有高危漏洞的网站比例下降了3个百分点,但排名却从第四名跃升为第一名,安全性在各行业网站中最为堪忧。

  由于电商网站自身的特殊性,电商网站服务器中保有大量用户个人信息和财务信息,因此电商网站安全漏洞危害极大,一旦被犯罪分子利用,将给网站本身和网站用户乃至互联网安全带来极大的危害。不法分子利用电商网站的漏洞通常会篡改网站内容,利用支付链接URL跳转对消费者进行钓鱼等;盗取用户账户,进行恶意消费;盗取电商网站数据库,用于诈骗等违法行为。

  从各个行业网站安全漏洞修复周期来看,音乐影视类、政务网站漏洞平均修复周期最长,分别为97天和86天,对网站安全意识有待提高;而游戏网站、医疗卫生类网站修复漏洞平均周期较短,分别为65天和66天,此几类网站修复漏洞所需时间要比音乐影视类网站少一个月左右。

  全球十大网站安全事件四起发生在中国

  《报告》总结了2014年全球范围内的十起网站安全事件,包括“OpenSSL心脏出血漏洞”、“eBay数据泄漏”、“索尼被黑客攻击”等,在去年的网站安全事件中,有四起发生在中国。

  据了解,“121中国互联网DNS大劫难”、“携程漏洞事件”、“中国快递1400万信息泄露”、“12306用户数据泄露”这四起网站安全事件在全社会造成了巨大影响。

  《报告》认为,根据去年发生的多起网站安全事件来看,网站攻击与漏洞利用正在向批量化,规模化方向发展,主要表现在以下五个方面:撞库攻击越演越烈、全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击。

  针对网站安全事件频发的现象,《报告》专门针对发起攻击的地域做了研究。研究发现,91.4%的攻击者IP来自境内,来自境外的攻击仅为8.6%。其中,境内攻击主要来自北京(32.9%)、江苏(13.9%)、浙江(11.4%)、山东(10.0%)、广东(7.40%)。

幻灯片38

  图3:发起网站漏洞攻击的地域分布

  值得一提的是,2014年,360补天平台共收录2490名“白帽子”提交的有效0day漏洞24724个,平均每个月收录有效的0day漏洞2060个,平均每天收录有效0day漏洞70个。

  补天平台是360互联网安全中心推出的 国内首个现金奖励漏洞平台,旨在建立企业与白帽子之间的桥梁,帮助企业建立SRC(安全应急响应中心)。

  据悉,曾发生用户数据泄漏的12306等网站均已加入360补天平台以获得查补网站漏洞的技术协助。


猜你喜欢

-->
比特微信账号
比特微信账号

微信扫一扫
关注Chinabyte

返回首页 长微博 返回顶部