2014年中国网站安全报告

时间:2015-1-13    作者:admin    分类: 摘自网络

t01d7de979f5287673c.png

t01a253fac6766768cf.jpg

下载地址:http://yunpan.cn/cy5kJC3GqLbwQ (提取码:5fdb)

摘要

网站漏洞:

2014年全年,360网站安全检测平台共扫描各类网站164.2万个;其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%;存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。

360网站安全检测全年共扫描发现网站高危漏洞462.1万次,平均每天约13836次。

在所有扫出漏洞中,跨站脚本漏洞(33.7%)和报错型SQL注入漏洞(14.5%)这两类高危安全漏洞占比最高,二者之和接近网站所有漏洞检出总次数的一半。

网站修复安全漏洞平均周期为78天,其中,高危漏洞修复平均周期最长,为118天,中危、低危漏洞的平均修复周期分别为57天、58天。

OpenSSL心脏出血漏洞、Shellshock破壳漏洞、Struts2-021补丁绕过漏洞是2014年最具影响的三大安全漏洞。

网站篡改与后门:

2014年全年,360网站安全检测平台共扫描各类网站164.2万个,其中,被篡改的网站17.7万个,约占扫描网站总数的10.8%。

2014年全年,360网站安全检测共对8409台网站服务器进行了网站后门检测,覆盖网站199.6万个,扫描共发现约3465台服务器存在后门,占所有扫描网站服务器的41.2%。 统计显示,服务器删除新发现后门的平均周期为8.28天。

2014年,恶意SEO后门的流行和新型网站后门管理工具QuasiBot的出现特别值得关注。

漏洞攻击:

2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,平均每天拦截漏洞攻击209.6万次。

平均每月有11.0万个网站遭遇各类漏洞攻击,其中,11月是网站遭遇漏洞攻击最为频繁的一个月,平均每天约有6667个网站遭到漏洞攻击。

从发起漏洞攻击IP的地域分布来看,91.4%攻击者IP来自境内地区,来自境外的攻击仅为8.6%。其中,境内攻击主要来自北京(32.9%)、江苏(13.9%)、浙江(11.4%)、山东(10.0%)、广东(7.40%)。

从遭到漏洞攻击IP的地域分布来看,96.0%受害者IP为自境内地区,境外的受害者仅为4.0%。其中,境内遭到漏洞攻击最多的地区是北京(18.1%)、河南(14.0%)、四川(13.8%)、浙江(11.7%)、江苏(7.42%)等。

流量攻击:

2014年全年,360网站卫士共拦截各类CC攻击205.0亿次,平均每天拦截CC攻击6138万次。统计显示,全年共有15.6万个网站被遭遇CC攻击。

94.6%的CC攻击来自境内地区,其中,来自浙江CC攻击数量最多,占境内CC攻击的12.0%,其次是广东(11.8%)和山东(6.17%)。

2014年全年,360网站卫士平均每月拦截各类DDoS攻击744.4Gb/s。5月(1389Gb/s)和7月(1444Gb/s)是全年拦截DDoS攻击的高峰期。

网站安全性行业分析:

在各行业网站中,电子商务类网站存在高危漏洞比例最高,为26%;其次为生活信息类(24%)、医疗卫生(22%)和企业公司(21%)。银行类网站相对安全性较高,存在高危漏洞比例最低。

各个行业网站修复漏洞平均周期也有很大差别:音乐影视类、政务网站漏洞平均修复周期最长,分别为97天和86天,其网站安全意识有待提高;而游戏网站、医疗卫生类网站修复漏洞平均周期较短,分别为65天和66天。

医疗卫生、政府网站和社区论坛最容易遭到漏洞攻击。一般来说,一个网站遭遇的平均漏洞攻击量越大,也就意味着这个网站对于攻击者来说,利用的价值越高。

在2014年遭遇CC 攻击最多的100个网站中,社区论坛网站数量最多,占比高达27.0%;其次是企业公司(17.0%)、生活信息(16.0%)、医疗卫生(10.0%)。

在遭遇CC 攻击的网站中,企业公司网站平均被攻击次数最多,高达1.63亿次。事实上,向竞争对手的网站发起流量攻击,已经成为部分企业之间恶意竞争的常用手段。

网站攻击战术最新趋势:

网站攻击与漏洞利用正在向批量化,规模化方向发展,主要表现在以下五个方面:撞库攻击越演越烈、全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击。

从2014年曝出的多起安全事件分析来看,利用网站服务器与手机APP之间的接口存在的漏洞对网闸服务器发起攻击,已经成为一种流行趋势。

网页篡改被大量用于钓鱼攻击,2104年下半年,特别是7月-9月间,大量政府教育类网站遭篡改并被植入大量钓鱼页面。

网站防护技术前沿趋势:

安全检测从主动式扫描向被动式扫描转变。

自动化扫描向自动化扫描与人工漏洞挖掘相结合转变。

补天平台:

2014年,补天平台共收录2490名“白帽子”提交的有效0day漏洞24724个,平均每天收录有效0day漏洞70个。其中,共有1229名白帽子提交了通用漏洞5407个,1883名白帽子提交了事件漏洞19317个。

2014全年,补天平台共向357名白帽子发布奖金167.8万元,其中事件漏洞付款金额为61823元,通用漏洞付款金额:161.6万元。

90后目前已经是白帽子的绝对主力,占比高达63.8%,80后占比34.4% ,00后占比1.8%。此外,在补天平台2490名白帽子中,仅4名为女性,女性仅占不足0.2%。某种程度上说,白帽子的世界就是男人的世界。

企业网站与管理系统的主要安全问题往往并不是那些技术复杂度很高的网站漏洞,而是一些比较低级的技术错误或人为的失误,主要表现在以下三个方面:密码安全性不足、运维配置不当、SQL注入漏洞。

本文由 360安全播报 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/learning/detail/204.html

标签: 安全报告

感谢9年的陪伴,江湖再见!!!

标签

热门文章

链接