网站安全漏洞形势分析报告.docx
《网站安全漏洞形势分析报告.docx》由会员分享,可在线阅读,更多相关《网站安全漏洞形势分析报告.docx(59页珍藏版)》请在冰豆网上搜索。
网站安全漏洞形势分析报告
ModifiedbyJEEPonDecember26th,2020.
网站安全漏洞形势分析报告
2016年
中国网站安全漏洞形势分析报告
2017年1月5日
摘要
网站扫描漏洞分析
2016年全年(截至11月15日),360网站安全检测平台共扫描各类网站万个,
其中,存在漏洞的网站万个,占比为%;存在高危漏洞的网站万个(全
年去重),占扫描网站总数的%。
从检测出漏洞的危险等级来看,高危漏洞数量占%,中危占%,低危占%。
360网站安全检测平台全年共扫描发现网站高危漏洞万次,较2015年万次
大幅增长80%,平均每月扫出高危漏洞约万次;平均每天扫出高危漏洞约万次。
3月份是扫出高危漏洞最多的月份,数量达到万次。
应用程序错误信息(%)、异常页面导致服务器路径泄露(%)和跨站脚本攻击
漏洞(%)这三类是占比最高的网站安全漏洞,之和超过总次数的60%。
人工挖掘漏洞分析
2016年1月1日-11月15日,补天平台公有SRC共收录各类网站安全漏洞32277个,
私有SRC(含众测)收录漏洞4911个,总共漏洞数为37188个;从涉及web站点看,
补天平台收录的漏洞涉及网站(按域名统计)共30329个。
2016年被报告漏洞的备案网站中,有%的网站已加入补天,%的网站未加入。
2016年补天平台收录的漏洞中,备案网站的漏洞有23982个,占比为%,未备案或
备案已过期的网站漏洞有8295个,占比为%。
从网站角度看,备案网站有22929
个,占比为%,未备案或备案已过期的网站占比为%。
2016年补天平台收录的网站漏洞中,通用型漏洞占比为%,相比2015年的(%)
有所下降。
高危漏洞占%,中危漏洞占%,低危漏洞占%。
从漏洞性质看,在备案的网站中,通用型漏洞比例很低,仅为%,绝大多数漏洞(%)
为事件型漏洞。
相比而言,没有备案的网站存在的漏洞中,通用型漏洞比例%,事
件型漏洞比例为%。
从补天平台收录漏洞的具体类型来看,SQL注入漏洞最多,占比为%,其次是命令
执行和弱口令,分别占%和%。
对2016年补天平台的备案网站漏洞的抽样调查显示,平均漏洞修复率仅为%。
根据厂商明确标记已修复的网站漏洞中,1天内修复的比例为%,一周以内修复的比
例为%,一个月内修复的比例为%,超过30天才修复为%。
网站漏洞攻击分析
2016年(截至11月15日),360网站卫士共拦截各类网站漏洞攻击亿次,较2015
年亿次,增长了约%。
截止到2016年11月15日,2016年平均每天拦截漏洞攻击万次。
5、6月和7月
是攻击量最大的三个月。
截至到2016年11月15日,全年遭受到漏洞网站共计万个(全年去重),占360
网站卫士覆盖总量(万)的%。
平均每月有万个网站遭遇各类漏洞攻击,
与2015年平均每月万个相比下降了%。
%受害者IP为境内地区。
其中,%来自北京,居于首位,其次分别为浙江(%)、
四川(%)、广东(%)、江苏(%)等。
%受害者IP为境外地区。
其中,%的受害者来自加拿大,排在第一位,其次是
美国(%)、韩国(%)、罗马利亚(%)、日本(%)等。
2016年遭到漏洞攻击的十大城市,北京遭到攻击的IP最多,高达亿次,居于全国
首位;其次是成都、上海、南京、郑州、广州、杭州、合肥、深圳和福州。
从发起漏洞攻击IP的地域分布来看,%攻击者IP来自境内地区。
其中,%来自
江苏,居于首位;其次分别为北京(%)、河南(%)、浙江(%)、上海(%)、
广东(%)等。
%攻击者IP来自境外地区。
其中,%来自俄罗斯,其次是美国(%)、加拿
大(%)等。
2016年发起漏洞攻击最多的十大城市。
从南京发起漏洞攻击的IP最多,高达亿次,
居于全国首位;其次是北京(亿次)、郑州(亿次)、上海、武汉、杭州、合
肥、天津、福州和南昌。
一周之内漏洞攻击的分布统计,星期四是一周中漏洞攻击最为集中的一天,占总攻击量
中的%,而周六的攻击量则相对最少,仅占总攻击量的%。
一天之内漏洞攻击的分布统计,漏洞攻击多集中于下午15-17点之间,在16点达到最
高峰,而早上5-8点是漏洞攻击比较稀少的时段,凌晨8点最为安全。
网站安全漏洞行业分析
2016年(截止11月15日)补天平台收录的不同备案网站的漏洞总量为23982个(共
涉及22929个网站),其中高危漏洞为10719个。
补天平台收录的备案网站漏洞中,企业网站的漏洞数量是最多的,占比为%,事业
单位网站为%,政府机关网站为%,个人网站为%,社会团体网站为%。
从高危漏洞网站来看,社会团体网站高危漏洞占比最多,为%,企业网站为%,
事业单位网站为%,政府机关网站为%,个人网站为%。
政府机关网站的漏洞修复率是最高的,占比为%,其次事业单位网站为%,企
业网站为%,个人网站为%,社会团体网站为%。
从高危漏洞修复率来看,
政府机关网站同样是修复最高的。
在所有企业、个人备案的网站中,统计显示,IT/互联网行业网站被报告的漏洞最多,
占比为%。
从高危漏洞网站来看,电信运营商网站高危漏洞占比最多,为%,生产制造为%。
游戏类网站排名第三。
占比为%。
电信运营商网站的漏洞修复率是最高的,占比为%;其次是金融网站为%,汽
车交通网站为%,媒体网站为%。
从高危漏洞修复率来看,金融网站修复率是最高的,占比为%,其次电信运营商网
站%,汽车交通网站%。
白帽子与漏洞奖励
2016年(截止11月15日),共有2362名白帽子向补天平台提交有效漏洞37188个(其
中公有SRC收录32277个,私有SRC收录4911个)。
2362名白帽子获得奖金万元,其中通用型漏洞占比为%,事件型漏洞%。
2016年获补天平台奖金最多的三位白帽子分别是carry_your、system_gov和
hckmaple,三人各自获得的奖金皆超过20万。
从报给补天平台并被收录的漏洞总数来看,挖洞最多的是hckmaple,共贡献1136个漏
洞,平均每天挖洞个,堪称“挖洞”劳模。
2016年(截止到11月15日),共有119名女性白帽子提交漏洞,占比为%,相
比2015年的%,有较大幅度提升。
从获得奖金额度占比方面来看,男性白帽子占据绝对优势,达到%,女性白帽子获
得奖金额度占比仅为%,不过,和2015年(%)相比略有上升。
从白帽子的注册信息来看,在2016年向补天平台提交漏洞的白帽子中,年龄最小的14
岁,年龄最大的66岁。
其中,19岁-24岁之间的白帽子数量最多,约占总数的50%。
从年龄段来看,年轻的“90后”目前仍然是白帽子的绝对主力,占白帽子总量的%,
“80后”次之,占%。
相比2015年“00后”白帽子仅占%,2016年约有%
的白帽子是16岁及以下的青少年,比例和数量都大为提高。
关键词:
网站安全、漏洞、补天、检测
第一章网站扫描漏洞分析............................................................................................................1
一、扫描网站介绍....................................................................................................................1
二、漏洞数量...........................................................................................................................2
三、漏洞类型分析....................................................................................................................4
第二章人工挖掘漏洞分析............................................................................................................5
一、漏洞数量...........................................................................................................................5
二、漏洞类型分析....................................................................................................................6
三、漏洞修复情况....................................................................................................................8
四、漏洞修复率低的原因分析.................................................................................................9
第三章网站漏洞攻击分析..........................................................................................................10
一、漏洞攻击数量统计..........................................................................................................10
二、漏洞攻击类型分析..........................................................................................................11
三、漏洞攻击地域分析..........................................................................................................11
四、漏洞攻击时域分析..........................................................................................................13
第四章网站安全漏洞行业分析...................................................................................................15
一、不同备案网站对比分析...................................................................................................15
二、不同行业网站对比分析...................................................................................................18
第五章白帽子与漏洞奖励..........................................................................................................21
一、白帽子获奖情况..............................................................................................................21
二、白帽子性别与年龄分析...................................................................................................21
三、2016年典型漏洞举例......................................................................................................23
第六章2016年网站安全热点问题..........................................................................................24
一、网站泄漏个人信息成网络诈骗助推器............................................................................24
二、金融行业网站漏洞威胁更加复杂化................................................................................24
三、网站挂马攻击重新兴起...................................................................................................25
四、智能硬件容易遭劫持,安全隐患迭出............................................................................26
第七章2016年网站安全技术前沿趋势..................................................................................27
一、WEB防御进入多维智能协同阶段.....................................................................................27
二、众测/众包模式构建“SRC即服务”机制.......................................................................27
三、开放数据挖掘将成为WEB安全威胁新热点.....................................................................28
4
四、应用感知和持续监测为增强应用安全提供新方向.........................................................29
附录12016年国内外重大网站安全事件.......................................................................................30
附录22016年网站被篡改植入非法网页实例................................................................................35
附录3补天平台介绍.....................................................................................................................44
附录4网站卫士介绍.....................................................................................................................45
附录5网站安全检测平台介绍......................................................................................................46
5
第一章网站扫描漏洞分析
网站漏洞的整体形势可以从两个分析角度:
一是网站安全检测的自动扫描结果统计,
二是网站被报告漏洞情况的统计。
本章将从自动扫描角度,以360网站安全检测与防护相关
产品的统计结果为依据,分析2016年中国网站的安全漏洞情况。
一、扫描网站介绍
根据工信部相关规定,网站域名需在主管部门备案。
一般网站正常备案的类型为:
政
府机关、军队、事业单位、社会团体、企业、个人、基金会、律师事务所等类型,本节主要
对webscan扫描的有备案网站和域名类型角度进行介绍。
2016年全年(截至11月15日),360网站安全检测平台共扫描各类网站万个。
其中共有万备案网站,其中企业备案的占%,占比最高,其次是个人(%)、
政府机关(%)、事业单位(%)等。
从域名类型统计看,全球通用域名中域名最多,占比为%;其次是
(%)、.org(%);作为本土化域名,.占比为%,.的比例为%,其
他普通的域名(不含gov和edu)为%。
具体见下图。
1
二、漏洞数量
根据360网站安全检测平台全年扫描情况,扫出存在漏洞的网站万个,占比为%;
扫出存在高危漏洞的网站万个(全年去重),占扫描网站总数的%,相比2015年有
一定下降。
相比较而言,2016年网站检出高危漏洞的情况有所好转。
从检测出漏洞的危险等级看,2016年高危漏洞数量占%,中危占%,低危占
%,相比于2015年变化不大。
下图给出了360网站安全检测平台每月扫描出存在高危漏洞的网站个数(当月去重)。
与2015年的大起大伏相比,今年变化较小,上半年数量总体高于下半年;其中,在全年各
月中,3月扫出的有高危漏洞的网站数量最多,为万个。
2
360网站安全检测平台全年共扫描发现网站高危漏洞万次,较2015年万次
大幅增长80%,平均每月扫出高危漏洞约万次;平均每天扫出高危漏洞约万次。
下图给出了2016年每月扫描出网站高危漏洞的次数。
其中3月份是扫出高危漏洞最多的月
份,数量达到万次。
综合高危漏洞扫出次数和检出有高危漏洞网站数量,虽然存有高危漏洞网站数量下降了,
但检出高危漏洞的数量却大幅增长,说明高危漏洞正在向少数网站集中,即绝大多数网站已
经基本不存在可自动检测的高危漏洞了,但极少数网站却集中出现大量高危漏洞。
3
三、漏洞类型分析
从网站漏洞类型上看,应用程序错误信息、异常页面导致服务器路径泄露、跨站脚本
攻击(XSS)漏洞等是2016年最为频繁扫出的漏洞类型。
下表给出了被扫出次数最多的十
大类典型网站安全漏洞:
排名漏洞名称漏洞级别扫出次数(万)
1应用程序错误信息低危
2异常页面导致服务器路径泄漏低危
3跨站脚本攻击漏洞高危
4SQL注入漏洞高危
5发现目录启用了自动目录列表功能低危
6发现敏感名称的目录漏洞低危
7IIS短文件名泄露漏洞低危
8WEB服务器启用了OPTIONS方法低危
9发现文件低危
10Mysql可远程连接中危
表12016年扫描出数量最多的10类网站漏洞
下图给出了各类网站安全漏洞被扫出次数的比例分布情况。
从图中可以看出,应用程
序错误信息(%)、异常页面导致服务器路径泄露(%)和跨站脚本攻击漏洞(%)
这三类安全漏洞是占比最高的网站安全漏洞,三者之和超过所有漏洞检出总次数的60%。
值得一提的是,“应用程序错误信息”漏洞是低危漏洞,改变了前两年高危漏洞稳居排名第
一的局面。
4
第二章人工挖掘漏洞分析
本章从人工挖掘角度,对网站漏洞情况进行分析。
主要根据补天平台公开征集收录白
帽子提交的漏洞信息,结合平台自身对漏洞的研究积累,从而分析2016年存在漏洞,且被
白帽子关注的全国数万个网站的安全状况。
一、漏洞数量
2016年1月1日-11月15日,补天平台公有SRC共收录各类网站安全漏洞32277个,
私有SRC(含众测)收录漏洞4911个,总共漏洞数为37188个,与2015年(37943个)基
本持平;从涉及web站点看,2016年补天平台收录的漏洞涉及网站(按域名统计)共30329
个,同比(26370个)增加了3959个网站。
补天收录漏洞对应的网站可以注册加入补天平台,这通常意味着网站会安排专人对补
天平台报告的漏洞进行响应和处理,在一定程度上反应了网站对安全漏洞的重视程度。
统计
显示,在2016年被报告漏洞的备案网站中,有%的网站已加入补天平台,还有%
的网站未加入。
本章主要对公有版本(32277个漏洞)进一步分析。
下图为2016年1月至11月中旬,补天平台每月收录的网站漏洞数量统计。
可以看出,
去年前半年是白帽子发力的月份,而今年秋季则是白帽子收获最多的季节。
5
2016年补天平台收录的漏洞中,备案网站的漏洞有23982个,占比为%,未备案
或备案已过期的网站漏洞有8295个,占比为%。
而从网站角度看,备案网站有22929
个,占比为%,未备案或备案已过期的网站占比为%。
二、漏洞类型分析
在补天平台2016年收录的网站漏洞中,通用型漏洞比例占比为%,相比2015年的
(%)有所下降。
不过,高危漏洞占比依然超过一半,为%、中危漏洞占%,
低危漏洞占%。
6
从漏洞性质看,在备案的网站中,通用型漏洞比例很低,仅为%,绝大多数漏洞(%)
为事件型漏洞。
相比而言,未备案网站存在的漏洞中,通用型漏洞比例为%,而事件型
漏洞比例为%。
鉴于多数通用型漏洞属于可以检测的已知漏洞,而事件型漏洞则存在一定的偶发性和不
可预测性。
所以,上述数据表明,备案网站
升级会员 