欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

2016年中国互联网安全报告发布 近半数网站存漏洞

来源:本站整理 作者:佚名 时间:2017-02-22 TAG: 我要投稿

近日360互联网安全中心发布了《2016年中国互联网安全报告》,报告对个人及政企所面临的恶意程序、钓鱼网站、电信骚扰、安卓系统漏洞、网络诈骗、IoT安全、网站安全、DDOS攻击、网络扫描、邮件安全、工控安全、APT、应急响应等安全威胁情况做了全面介绍,报告显示,国内46.3%的网站存在安全漏洞。
近半数网站存漏洞,安全形势不容乐观
在对197.9万个网站漏洞检查中发现,46.3%的网站有漏洞,其中高危漏洞占7.1%。从漏洞统计数据看有将近一半的网站都存在网站漏洞,网站安全形势不容乐观。

网站漏洞的分布情况如下图所示,其中应用程序错误信息漏洞、异常页面导致的服务器路径泄露漏洞和跨站脚本攻击漏洞占据很大比例。

网站有漏洞说明网站有一定的安全威胁,而如果网站漏洞可以被利用并造成有效攻击那后果就比较严重了。2016年全国白帽子提交到补天平台的37188个漏洞中93.9%的漏洞是事件型漏洞,是网站漏洞可以被有效利用甚至被入侵的过程性案例事件。360补天平台的漏洞统计对网站管理员来讲具有重要的借鉴参考价值。

从补天平台的漏洞利用分布中可以看到SQL注入占据了半壁江山,说明黑客通过SQL注入攻击方式对网站进行暴库、脱库以获取存放在网站数据库中的敏感业务数据信息和网站管理员账户信息是攻击者对网站进行攻击的重要目的和主要攻击方式。这也和SQL注入工具更加自动化、智能化并且非常容易获取有关。

4.2%的网站遭到恶意篡改 网站挂马再次升温
360网站云防护系统现已接入全国66万个一级域名和150万个网站域名,一级域名数量占CNNIC统计中国备案网站域名数量450万个的15%,是全国最大的网站安全防护系统。以下是360云防护系统的漏洞拦截分布情况,从分布图中可见SQL注入攻击在网站攻击方式中占据很大比例,其次是扫描器的扫描攻击。

在对197.9万个网站的监测数据中发现4.2%的网站遭到了恶意篡改,主要是页面图片或页面内容的篡改,而有些网站被插入了色情类或博彩类的链接,或者直接在网站代码中插入暗链。

如果网站有漏洞,可能还会被攻击者挂马,当用户在访问网站页面时就会中招,比如窃取用户隐私,弹出色情博彩类弹窗广告,甚至使用勒索病毒勒索用户钱财等。

由于特殊原因本次《报告》未统计网站后门情况,为了让大家更完整的了解网站安全威胁情况,我们翻出了2015年的《中国网站安全报告》来参考。从2015年的《报告》中可以看出很大比例的网站被黑客留下了后门程序,这些后门程序主要包括ASP木马、JSP木马、PHP木马、一句话木马等WebShell木马后门,攻击者可以通过木马后门控制网站服务器甚至可以以网站服务器为跳板继续对内部网络进行渗透入侵。

如果网站有漏洞则网站就有被入侵的风险,而如果无论网站有没有漏洞我都要打你,这就有点耍流氓了,DDOS攻击就是这样。《报告》给出的DDOS攻击流量分布和带宽分布着实让人挠头,因为其70%的DDOS攻击流量竟然小于1Mb,这和我们脑海里的大流量的洪水猛兽式的流量攻击好像不太相符,这是基于攻击技术特征而不是基于流量大小和攻击结果标准划分的结果,是从监测技术的角度看DDOS

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载