XXXX年中国网站安全报告

toomworld
0 ℃
2018-01-30

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

2015年中国网站安全报告2015年12月22日摘要网站漏洞2015年全年，360网站安全检测平台共扫描各类网站231.2万个；其中，存在安全漏洞的网站为101.5万个，占扫描网站总数的43.9%；存在高危安全漏洞的网站共有30.8万个，占扫描网站总数的13.0%。360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次，较2014年的462.1万次下降了约一半；扫描发现网站高危漏洞的比例为21.7%，中危占10.2%，低危占68.1%。与2014年相比，今年高、中危漏洞扫出比例大幅下降。2015年（截至11月18日）补天共收录的各类网站漏洞总数为37943个，平均每月3161个。其中，高危漏洞占比为71.2%；从漏洞性质上看，事件型漏洞占86.3%，通用型漏洞占比13.7%。网站修复安全漏洞比例极低，仅为4.7%；在已修复的比例中，24小时内修复的比例为10.3%，2-3天内修复的比例为14.1%，4-7天内修复的比例为23.8%，其余修复周期大于一周（7天）的占一半以上。网站篡改与后门2015年全年，360网站安全检测平台共扫描各类网站231.2万个，其中，被篡改的网站8.4万个，约占扫描网站总数的3.6%，网站遭篡改情况明显好转。2015年全年，360网站安全检测共对21854台网站服务器进行了网站后门检测，覆盖网站322.3万个，扫描共发现约4097台服务器存在后门，占所有扫描网站服务器的18.7%。2015已扫出各类网站后门文件样本数量多达858.1万个，与2014年“一句话木马”占到了网站后门69.2%的情况不同，今年恶意SEO后门的占比最高，为45.0%；不过感染网站服务器最多的木马依然是“一句话木马”。漏洞攻击2015年全年，360网站卫士共拦截各类网站漏洞攻击16.5亿次，平均每月拦截漏洞攻击近1.4亿次。2015年平均每月有17.1万个网站遭遇各类漏洞攻击，其中，1月是网站遭遇漏洞攻击最为频繁的一个月，平均每天约有8290个网站遭到漏洞攻击。从攻击类型看，2015年，SQL注入攻击最多，拦截次数超过8亿次，其次为Nginx漏洞攻击、命令注入攻击（CommonVulnerability）。从发起漏洞攻击IP的地域分布来看，90.2%攻击者IP来自境内地区，来自境外的攻击仅为9.8%，境内占比较2014年增长1.2个百分点；其中，境内攻击者IP归属地排名前三依次是：浙江31.5%、江苏28.3%、北京19.0%。境外攻击者IP归属地排名前三依次是：法国43.5%、美国29.8%、荷兰3.0%。从遭到漏洞攻击IP的地域分布来看，95.7%受害者IP为境内地区IP，境外的受害者仅为4.3%。其中，境内遭到漏洞攻击最多的地区是北京17.7%、江苏13.2%和山东11.0%。网站安全性行业分析2015年补天平台已收录的网站漏洞中，备案网站的漏洞为28040个，占比为73.9%，未备案或备案已过期的网站漏洞9903个，占比为26.1%。漏洞共涉及22084个网站。从漏洞性质看，没有备案的网站存在的漏洞中，通用型漏洞比例达到52.1%，而备案网站中通用型漏洞比例很低，仅为0.2%，说明备案网站的安全性明显高于未备案网站。从五种不同备案类型看，企业网站报告的漏洞最多，达14981个，高危漏洞10092个，漏洞涉及11453家企业网站；其次是事业单位网站，被报漏洞6504个，高危漏洞4339个，漏洞涉及5179家事业单位网站；政府网站排第三，被报漏洞3941个，高危漏洞2805个，漏洞涉及3315家政府网站。从修复率上看，企业网站的修复率是最高的，但也只有6.5%；政府网站的漏洞修复率在所有备案类型网站中排名垫底，仅为1.8%；这与普通网民对政府网站的信赖度相对较高的情况非常不相称。在七类行业网站中，共有漏洞5995个，涉及网站4280个。IT/互联网行业网站被报告的漏洞最多，达到2330个，高危漏洞1463个，漏洞涉及网站1535个；其次为教育培训，被报漏洞1169个，高危漏洞741个，漏洞涉及网站914个；汽车交通排第三，被报漏洞799个，高危漏洞525个，漏洞涉及网站625个。从修复率上看，金融行业网站的修复率最高，但也仅为17.3%。其他修复率超过10%的行业有两个，分别为IT/互联网、汽车交通。而教育、能源、医疗卫生三个细分行业的修复情况不容乐观，修复率仅约为1.8%-3.4%之间。个人信息泄漏补天平台统计显示，2015年共有1410个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站1282个，可能或已造成泄露的个人信息量高达55.3亿条。补天平台中的泄露信息漏洞中，共有4个漏洞可以造成1亿条以上的个人信息泄露，可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。存在泄露信息漏洞的1068个备案网站中，企业网站占比最高，达63.0%，政府、事业单位、个人、社会团体网站的占比分别为20.1%、11.8%、4.1%和1.1%。行业对比方面，IT/互联网网站可能泄漏的个人信息最多，为5.23亿条；其次是医疗卫生网站2.40亿条；电信运营商1.97亿条；金融理财网站1.10亿条；汽车交通网站5418万条；教育培训2462万条。行业对比方面，从平均每个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，其次是电信运营商563万条/洞，IT/互联网291万条/洞。行业对比方面，从泄露信息漏洞的修复率来看，金融理财网站的修复率最高，达34.1%；其次是IT/互联网10.6%；接下来依次是汽车交通6.9%，电信运营商2.9%。医疗卫生和教育培训类网站的泄露信息漏洞修复率为0。补天年报2015年，补天平台共收到2035名“白帽子”提交的有效漏洞37943个，其中有581名白帽子获得奖金共计227.3万元；事件型漏洞付款金额为70.6万元，通用型漏洞付款金额为156.7万元。2015年，补天平台获奖的白帽子中，“合肥滨湖虎子”获得奖金金额最高，已经连续三年排名第一。该名白帽子共提交漏洞431个，获得奖金123800元。2015年，共有57名女性白帽子提交了817个漏洞，其中有18名女性白帽子，获得了共2.5万元的奖励。女性在白帽子中仍然是非常稀缺的资源。根据白帽子的注册信息统计，在2015年向补天平台提交漏洞的白帽子中，年龄最小的13岁，年龄最大的78岁。90后比例达67.8%。网站安全热点与趋势2015年网站安全热点问题主要集中在以下几个方面：信息泄漏、物联网、车联网、P2P金融、O2O本地服务、Java反序列化漏洞、weblogic弱口令漏洞和登陆验证机制缺陷等几个方面。2015年网站安全技术主要有以下几个前沿趋势：一、数据驱动安全将引领技术潮流；二、威胁情报将成市场关注的焦点；三、机器学习与可视化技术迅速发展；四、云平台将涌现更多“安全即服务”形式。关键词：漏洞、篡改、后门、备案、行业分析、信息泄露、补天平台目录摘要...........................................................................................................................................1第一章网站漏洞分析....................................................................................................................1一、网站漏洞扫描分析............................................................................................................1二、网站漏洞报告分析............................................................................................................3三、漏洞修复率低的原因分析.................................................................................................6第二章网站篡改与后门................................................................................................................8一、网站篡改分析....................................................................................................................8二、网站后门分析....................................................................................................................9第三章网站漏洞攻击分析..........................................................................................................12一、漏洞攻击数量统计..........................................................................................................12二、漏洞攻击类型分析..........................................................................................................13三、漏洞攻击地域分析..........................................................................................................13四、漏洞攻击时域分析..........................................................................................................15第四章网站安全性行业分析......................................................................................................17一、综述.................................................................................................................................17二、不同备案网站对比分析...................................................................................................20三、不同行业网站对比分析...................................................................................................27第五章个人信息泄露...............