返回首页
 

2016年中国网站安全漏洞形势分析报告

发布日期
2017-01-05
关键词
网站安全、漏洞、补天、检测
摘要
 
  • 2016年全年(截至11月15日),360网站安全检测平台共扫描各类网站197.9万个,其中,存在漏洞的网站91.7万个,占比为46.3%;存在高危漏洞的网站14.0万个(全年去重),占扫描网站总数的7.1%。
  • 从检测出漏洞的危险等级来看,高危漏洞数量占26.4%,中危占10.4%,低危占63.2%。
  • 360网站安全检测平台全年共扫描发现网站高危漏洞480.8万次,较2015年267.7万次大幅增长80%,平均每月扫出高危漏洞约45.8万次;平均每天扫出高危漏洞约1.5万次。3月份是扫出高危漏洞最多的月份,数量达到103.4万次。
  • 应用程序错误信息(24.4%)、异常页面导致服务器路径泄露(11.8%)和跨站脚本攻击漏洞(16.0%)这三类是占比最高的网站安全漏洞,之和超过总次数的60%。
  • 2016年1月1日-11月15日,补天平台公有SRC共收录各类网站安全漏洞32277个,私有SRC(含众测)收录漏洞4911个,总共漏洞数为37188个;从涉及web站点看,补天平台收录的漏洞涉及网站(按域名统计)共30329个。
  • 2016年被报告漏洞的备案网站中,有24.2%的网站已加入补天,75.8%的网站未加入。
  • 2016年补天平台收录的漏洞中,备案网站的漏洞有23982个,占比为74.3%,未备案或备案已过期的网站漏洞有8295个,占比为25.7%。从网站角度看,备案网站有22929个,占比为75.6%,未备案或备案已过期的网站占比为24.4%。
  • 2016年补天平台收录的网站漏洞中,通用型漏洞占比为6.1%,相比2015年的(13.7%)有所下降。高危漏洞占50.6%,中危漏洞占35.4%,低危漏洞占14.0%。
  • 从漏洞性质看,在备案的网站中,通用型漏洞比例很低,仅为0.2%,绝大多数漏洞(99.8%)为事件型漏洞。相比而言,没有备案的网站存在的漏洞中,通用型漏洞比例19.7%,事件型漏洞比例为80.3%。
  • 从补天平台收录漏洞的具体类型来看,SQL注入漏洞最多,占比为44.9%,其次是命令执行和弱口令,分别占14.0%和11.7%。
  • 对2016年补天平台的备案网站漏洞的抽样调查显示,平均漏洞修复率仅为42.9%。
  • 根据厂商明确标记已修复的网站漏洞中,1天内修复的比例为7.5%,一周以内修复的比例为27.4%,一个月内修复的比例为33.3%,超过30天才修复为31.8%。
  • 2016年(截至11月15日),360网站卫士共拦截各类网站漏洞攻击17.1亿次,较2015年16.5亿次,增长了约3.7%。
  • 截止到2016年11月15日,2016年平均每天拦截漏洞攻击534.4万次。5、6月和7月是攻击量最大的三个月。
  • 截至到2016年11月15日,全年遭受到漏洞网站共计63.6万个(全年去重),占360网站卫士覆盖总量(163.6万)的38.9%。平均每月有14.3万个网站遭遇各类漏洞攻击,与2015年平均每月17.1万个相比下降了16.4%。
  • 66.9%受害者IP为境内地区。其中,34.2%来自北京,居于首位,其次分别为浙江(24.8%)、四川(11.4%)、广东(5.6%)、江苏(4.7%)等。
  • 33.1%受害者IP为境外地区。其中,72.5%的受害者来自加拿大,排在第一位,其次是美国(25.6%)、韩国(0.7%)、罗马利亚(0.2%)、日本(0.1%)等。
  • 2016年遭到漏洞攻击的十大城市,北京遭到攻击的IP最多,高达1.2亿次,居于全国首位;其次是成都、上海、南京、郑州、广州、杭州、合肥、深圳和福州。
  • 从发起漏洞攻击IP的地域分布来看,76.6%攻击者IP来自境内地区。其中,39.7%来自江苏,居于首位;其次分别为北京(30.6%)、河南(12.5%)、浙江(2.1%)、上海(2.0%)、广东(1.8%)等。
  • 23.4%攻击者IP来自境外地区。其中,44.6%来自俄罗斯,其次是美国(33.9%)、加拿大(7.5%)等。
  • 2016年发起漏洞攻击最多的十大城市。从南京发起漏洞攻击的IP最多,高达5.0亿次,居于全国首位;其次是北京(3.89亿次)、郑州(1.59亿次)、上海、武汉、杭州、合肥、天津、福州和南昌。
  • 一周之内漏洞攻击的分布统计,星期四是一周中漏洞攻击最为集中的一天,占总攻击量中的15.5%,而周六的攻击量则相对最少,仅占总攻击量的13.7%。
  • 一天之内漏洞攻击的分布统计,漏洞攻击多集中于下午15-17点之间,在16点达到最高峰,而早上5-8点是漏洞攻击比较稀少的时段,凌晨8点最为安全。
  • 2016年(截止11月15日)补天平台收录的不同备案网站的漏洞总量为23982个(共涉及22929个网站),其中高危漏洞为10719个。
  • 补天平台收录的备案网站漏洞中,企业网站的漏洞数量是最多的,占比为50.3%,事业单位网站为24.7%,政府机关网站为16.0%,个人网站为6.6%,社会团体网站为2.5%。
  • 从高危漏洞网站来看,社会团体网站高危漏洞占比最多,为47.5%,企业网站为47.3%,事业单位网站为43.3%,政府机关网站为41.7%,个人网站为36.4%。
  • 政府机关网站的漏洞修复率是最高的,占比为77.1%,其次事业单位网站为68.1%,企业网站为45.5%,个人网站为40.1%,社会团体网站为38.3%。从高危漏洞修复率来看,政府机关网站同样是修复最高的。
  • 在所有企业、个人备案的网站中,统计显示,IT/互联网行业网站被报告的漏洞最多,占比为23.5%。
  • 从高危漏洞网站来看,电信运营商网站高危漏洞占比最多,为56.0%,生产制造为54.4%。游戏类网站排名第三。占比为51.0%。
  • 电信运营商网站的漏洞修复率是最高的,占比为83.5%;其次是金融网站为81.3%,汽车交通网站为58.0%,媒体网站为57.8%。
  • 从高危漏洞修复率来看,金融网站修复率是最高的,占比为83.3%,其次电信运营商网站75.6%,汽车交通网站70.2%。
  • 2016年(截止11月15日),共有2362名白帽子向补天平台提交有效漏洞37188个(其中公有SRC收录32277个,私有SRC收录4911个)。
  • 2362名白帽子获得奖金420.3万元,其中通用型漏洞占比为16.7%,事件型漏洞83.3%。
  • 2016年获补天平台奖金最多的三位白帽子分别是carry_your、system_gov和hckmaple,三人各自获得的奖金皆超过20万。
  • 从报给补天平台并被收录的漏洞总数来看,挖洞最多的是hckmaple,共贡献1136个漏洞,平均每天挖洞3.6个,堪称“挖洞”劳模。
  • 2016年(截止到11月15日),共有119名女性白帽子提交漏洞,占比为10.2%,相比2015年的2.8%,有较大幅度提升。
  • 从获得奖金额度占比方面来看,男性白帽子占据绝对优势,达到98.5%,女性白帽子获得奖金额度占比仅为1.5%,不过,和2015年(1.1%)相比略有上升。
  • 从白帽子的注册信息来看,在2016年向补天平台提交漏洞的白帽子中,年龄最小的14岁,年龄最大的66岁。其中,19岁-24岁之间的白帽子数量最多,约占总数的50%。
  • 从年龄段来看,年轻的“90后”目前仍然是白帽子的绝对主力,占白帽子总量的70.7%,“80后”次之,占19.3%。相比2015年“00后”白帽子仅占0.9%,2016年约有2.6%的白帽子是16岁及以下的青少年,比例和数量都大为提高。

扫描二维码分享朋友圈

NEW最新研究报告

Android恶意软件专题报告(2016)

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,2016年全年,从手机用户感染恶意程序情况看,360互联网....

关键企业保障网络安全的形势与挑战

近年来,随着人类社会的进步和信息技术的发展,人类在能源、环境、交通、居住、安全等领域都面临着严峻的挑战,迫使人们不得不利用大数据、物联网等互联网技术实现更加高效、智能....

2016年中国互联网安全报告

2016年360互联网安全中心共截获PC端新增恶意程序样本1.9亿个。敲诈者病毒在国内发生两次大规模传播,全国至少有497多万台用户电脑遭到了敲诈者病毒攻击。通过对受害者调研...

2016年中国高级持续性威胁研究报告

2016年,全球各地安全机构展开了大量关于APT的专业研究。截至2016年12月,360追日团队共监测到全球41个安全机构发布的各类APT研究报告100份,涉及相关APT组织43个,被攻击...

2016骚扰电话形势分析报告

2016年360手机卫士共拦截骚扰电话385.1亿次,创历史新高。比2015年大幅增涨41.3%,平均每天为全国用户识别与拦截1.05亿次,在骚扰电话的号码源中,由固定电话呼出的骚扰...

2016年中国手机安全状况报告

2016年全年,360互联网安全中心累计截获Android平台新增恶意程序样本1403.3万个,平均每天新增3.8万恶意程序样本,360手机卫士共为全国手机用户拦截各类钓鱼网站攻击15.9亿次...