返回首页
 

2014年中国网站安全报告

发布日期
2015-03-19
关键词
漏洞、篡改、后门、流量攻击、CC、DDoS、补天平台
摘要
网站漏洞: 
    2014 年全年,360 网站安全检测平台共扫描各类网站 164.2 万个;其中,存在安全漏洞的网站为 61.7 万个,占扫描网站总数的 37.6%;存在高危安全漏洞的网站共有 27.9 万个,占扫描网站总数17.0%。

    360 网站安全检测全年共扫描发现网站高危漏洞 462.1 万次,平均每天约 13836 次。 

    在所有扫出漏洞中,跨站脚本漏洞(33.7%)和报错型 SQL 注入漏洞(14.5%)这两类高危安全漏洞占比最高,二者之和接近网站所有漏洞检出总次数的一半。 

    网站修复安全漏洞平均周期为 78 天,其中,高危漏洞修复平均周期最长,为 118 天,中危、低危漏洞的平均修复周期分别为 57 天、58 天。 

    OpenSSL 心脏出血漏洞、Shellshock 破壳漏洞、Struts2-021 补丁绕过漏洞是 2014 年最
具影响的三大安全漏洞。 
 
网站篡改与后门: 

    2014 年全年,360 网站安全检测平台共扫描各类网站 164.2 万个,其中,被篡改的网站17.7 万个,约占扫描网站总数的 10.8%。 

    2014 年全年,360 网站安全检测共对 8409 台网站服务器进行了网站后门检测,覆盖网站 199.6 万个,扫描共发现约 3465 台服务器存在后门,占所有扫描网站服务器的 41.2%。 统计显示,服务器删除新发现后门的平均周期为 8.28 天。 

    2014 年,恶意 SEO 后门的流行和新型网站后门管理工具 QuasiBot的出现特别值得关注。 
 
漏洞攻击: 

    2014 年全年,360 网站卫士共拦截各类网站漏洞攻击 7.0 亿次,平均每天拦截漏洞攻击209.6 万次。
 
    平均每月有 11.0 万个网站遭遇各类漏洞攻击,其中,11 月是网站遭遇漏洞攻击最为频繁的一个月,平均每天约有 6667 个网站遭到漏洞攻击。
 
    从发起漏洞攻击 IP 的地域分布来看,91.4%攻击者 IP 来自境内地区,来自境外的攻击仅为 8.6%。其中,境内攻击主要来自北京(32.9%)、江苏(13.9%)、浙江(11.4%)、山东(10.0%)、广东(7.40%)。 

    从遭到漏洞攻击 IP 的地域分布来看,96.0%受害者 IP 为自境内地区,境外的受害者仅为 4.0%。其中,境内遭到漏洞攻击最多的地区是北京(18.1%)、河南(14.0%)、四川(13.8%)、浙江(11.7%)、江苏(7.42%)等。 

  
流量攻击: 

    2014 年全年,360 网站卫士共拦截各类 CC 攻击 205.0 亿次,平均每天拦截 CC 攻击 6138万次。统计显示,全年共有 15.6 万个网站被遭遇 CC 攻击。 

    94.6%的 CC 攻击来自境内地区,其中,来自浙江 CC 攻击数量最多,占境内 CC 攻击的 12.0%,其次是广东(11.8%)和山东(6.17%)。 

    2014 年全年,360 网站卫士平均每月拦截各类 DDoS 攻击 744.4Gb/s。5 月(1389Gb/s)和 7 月(1444Gb/s)是全年拦截 DDoS 攻击的高峰期。 

 
网站安全性行业分析: 

    在各行业网站中,电子商务类网站存在高危漏洞比例最高,为 26%;其次为生活信息类(24%)、医疗卫生(22%)和企业公司(21%)。银行类网站相对安全性较高,存在高危漏洞比例最低。 

    各个行业网站修复漏洞平均周期也有很大差别:音乐影视类、政务网站漏洞平均修复周期最长,分别为 97 天和 86 天,其网站安全意识有待提高;而游戏网站、医疗卫生类网站修复漏洞平均周期较短,分别为 65 天和 66 天。 

    医疗卫生、政府网站和社区论坛最容易遭到漏洞攻击。一般来说,一个网站遭遇的平均漏洞攻击量越大,也就意味着这个网站对于攻击者来说,利用的价值越高。 

    在 2014 年遭遇 CC 攻击最多的 100 个网站中,社区论坛网站数量最多,占比高达 27.0%;其次是企业公司(17.0%)、生活信息(16.0%)、医疗卫生(10.0%)。 

    在遭遇 CC 攻击的网站中,企业公司网站平均被攻击次数最多,高达 1.63 亿次。事实上,向竞争对手的网站发起流量攻击,已经成为部分企业之间恶意竞争的常用手段。
 
 
网站攻击战术最新趋势: 

    网站攻击与漏洞利用正在向批量化,规模化方向发展,主要表现在以下五个方面:撞库攻击越演越烈、全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击。 

    从 2014 年曝出的多起安全事件分析来看,利用网站服务器与手机 APP 之间的接口存在的漏洞对网站服务器发起攻击,已经成为一种流行趋势。 

    网页篡改被大量用于钓鱼攻击,2014 年下半年,特别是 7 月-9 月间,大量政府教育类网站遭篡改并被植入大量钓鱼页面。 

 
网站防护技术前沿趋势: 

    安全检测从主动式扫描向被动式扫描转变。
 
    自动化扫描向自动化扫描与人工漏洞挖掘相结合转变。

  
补天平台: 

    2014 年,补天平台共收录 2490 名“白帽子”提交的有效 0day 漏洞 24724 个,平均每天收录有效 0day 漏洞 70 个。其中,共有 1229 名白帽子提交了通用漏洞 5407 个,1883名白帽子提交了事件漏洞 19317 个。 

    2014 全年,补天平台共向 357 名白帽子发布奖金 167.8 万元,其中事件漏洞付款金额为61823 元,通用漏洞付款金额为 161.6 万元。 

    90 后目前已经是白帽子的绝对主力,占比高达 63.8%,80 后占比 34.4% ,00 后占比1.8%。此外,在补天平台 2490 名白帽子中,仅 4 名为女性,女性仅占不足 0.2%。某种程度上说,白帽子的世界就是男人的世界。 

    企业网站与管理系统的主要安全问题往往并不是那些技术复杂度很高的网站漏洞,而是一些比较低级的技术错误或人为的失误,主要表现在以下三个方面:密码安全性不足、运维配置不当、SQL 注入漏洞。 
 

扫描二维码分享朋友圈

NEW最新研究报告

Android恶意软件专题报告(2016)

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,2016年全年,从手机用户感染恶意程序情况看,360互联网....

关键企业保障网络安全的形势与挑战

近年来,随着人类社会的进步和信息技术的发展,人类在能源、环境、交通、居住、安全等领域都面临着严峻的挑战,迫使人们不得不利用大数据、物联网等互联网技术实现更加高效、智能....

2016年中国互联网安全报告

2016年360互联网安全中心共截获PC端新增恶意程序样本1.9亿个。敲诈者病毒在国内发生两次大规模传播,全国至少有497多万台用户电脑遭到了敲诈者病毒攻击。通过对受害者调研...

2016年中国高级持续性威胁研究报告

2016年,全球各地安全机构展开了大量关于APT的专业研究。截至2016年12月,360追日团队共监测到全球41个安全机构发布的各类APT研究报告100份,涉及相关APT组织43个,被攻击...

2016骚扰电话形势分析报告

2016年360手机卫士共拦截骚扰电话385.1亿次,创历史新高。比2015年大幅增涨41.3%,平均每天为全国用户识别与拦截1.05亿次,在骚扰电话的号码源中,由固定电话呼出的骚扰...

2016年中国手机安全状况报告

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,360手机卫士共为全国手机用户拦截各类钓鱼网站攻击15.9亿次...