2016年上半年中国网站安全报告
日前,中国电信、安全帮、绿盟科技和安恒信息联手发表一份“2016年上半年中国网站安全报告”,扫描38.2万个网站后发现,共有网站安全漏洞1,480.5万个漏洞,平均每个网站有773个漏洞,高危险漏洞数量为22个,比去年同期增加17.5%;其中,有37.3%的中国网站有XSS漏洞;若从产业来看,则有75%的地方政府和地方企业网站有高风险漏洞,其中XSS漏洞占所有高风险漏洞38.3%,表示中国有51.1%的地方政府和地方企业网站有XSS漏洞,比台湾31.5%重要政府官网有XSS漏洞还高。
从这份中国民间释出的网站安全报告可以发现,这些重点漏洞多年来的修复速度缓慢,导致许多网站受害严重,包括民间地方企业和地方政府的多数网站,都处于不安全的状态,因此在浏览中国网站时,仍必须留意不要点击不明的网址连结以确保使用者安全。
中国网站最严重的漏洞就是XSS,平均每个网站有773个漏洞
这份报告分成3个数据,包括扫描出来的漏洞、网络监测到的疑似攻击以及网站安全事件。首先,该份报告指出,资安业者监控382,947个网站,扫描出来的漏洞高达14,80.5万个,经过验证的高危险漏洞占漏洞扫描总数的2.8%,平均每个网站有773个漏洞,高危险漏洞数量为22个,比去年同期增加17.5%。骇客往往可以利用这些高危险漏洞完全掌控该受骇网站,也可以绕过系统防火墙控制整个网站服务器,进而危害到整个网站的正常运作。
从揭露的漏洞中可以发现,高危险性的跨站脚本攻击(XSS)漏洞是所有漏洞中数量最多的,将近14.3万个漏洞,占所有高风险漏洞近4成(38.3%);以行业别来看,75%的地方政府和地方企业都有这些高风险的漏洞,而XSS漏洞占所有高风险漏洞的38.3%,意味着,中国有51.1%的地方政府和地方企业网站都有XSS漏洞。
骇客可以利用这样的漏洞在网站中植入任意的代码,插入各种iframe,不论是窃取网站管理员或使用者的Cookie,隐藏网页挂码的存在,甚至是格式化使用者的电脑硬盘等,只要是这些脚本程式可以做到的功能,都是有XSS漏洞网站必须要面对的潜在威胁。
该份报告中排名第二名~第五名的漏洞依序就是:链接注入漏洞、SQL注入漏洞(SQL Injection)、框架注入漏洞和Cookie注入漏洞,和威胁最高的XSS相比,后续漏洞的数量大约占整体高风险漏洞的10%左右,比例虽然较少,但是危害仍大。
链接注入(Injection with url as payload)和框架注入都算是跨站脚本攻击的一种变种攻击,可以直接在使用者浏览的网页中植入各种恶意连结或各种输入框,如果上述植入的恶意连结或是输入框涉及使用者账号密码,也意味着骇客可以利用这个漏洞窃取使用者的机敏资料。
另外,骇客也可以利用常见的SQL Injection漏洞,除了窃取并外泄网站数据库的资讯,也可以窜改数据库资料或把整个数据库删除;Cookie注入漏洞手法较为复杂,但危险性和SQL Injection类似,也可以窃取网站管理员和使用者的账号、密码。
从该份报告中也可以发现,有56.15%的地方政府网站和19.27%地方企业网站都具有上述高风险漏洞,合计占高风险漏洞的75%;若进一步分析,地方企业网站平均有58个高风险漏洞,政府网站平均有17个高风险漏洞。
网站攻击手法以服务器资料外泄比例最高,其次为SQL注入和XSS
从该份资安报告来看,可以发现骇客也经常利用自动化扫描工具针对网站进行扫描,目前可以得知,骇客最常针对网站的目录和网页写爬虫程式,以了解整个网站内容架构。例如,骇客若要尝试入侵使用者网站时,会利用暴力破解方式取得后台管理指令,也同时利用目录越权访问和SQL注入攻击等手法;最常拜访的网页页面是网站管理登入页面、搜索页面、数据库文件保存页面和网页后门页面等等。
该份报告也揭露中国网站受到攻击的来源位址或国家,骇客最主要发动攻击的来源中,超过一半来自湖北(54.5%),其次为浙江(14%)、广东(10.8%)、北京(7.5%)和山东(5.3%),另外有2.2%的攻击来自美国,排名第七名。以湖北为例,甚至有一台来自湖北武汉的受骇主机,已经对外发动960万次的攻击且会自动离线消除攻击的踪迹。
这些中国网站受到的Web攻击事件次数高达2亿8361.5万次,,超过3成(35.4%)是服务器的资料外泄,27.8%是SQL注入攻击(SQL Injection),跨站脚本攻击(XSS)比例也有18%。
但最有趣的是,从该份报告中看出资安业者对于Web攻击区分成4类攻击行为模式,分别是中国白帽骇客对政府、金融和重点企业的全面扫描和定点渗透;中国黑产对政府、金融及重点企业的定点、持续性渗透;国外骇客、敌对组织对中国网站长期、无差别的扫描与随机渗透;以及最后一种是中国黑产组织对攻击目标网站的定点DDoS攻击。
上述提到的白帽骇客的扫描和渗透,报告中则指出,这些揭露网站漏洞的白帽骇客已经转成灰帽骇客,加上漏洞提报平台良莠不齐,白帽骇客的增加及大量使用自动化扫描工具,也对中国网站的防御能力和系统资源的使用带来压力,甚至于,报告中也认为,白帽骇客揭露的漏洞,也会带来机敏资料二次外泄或公众恐慌。
从这样的报告说明中,也可以看出,中国最大也最早的漏洞揭露平台乌云自从今年7月20日“无限期升级”的公告以来,迄今迟迟没有复站的消息,也可以大致看出,当中国官方反对漏洞揭露的行为时,中国资安产业对于这类漏洞揭露的态度更是渐趋保守。
中国也同样遭到外部的组织型骇客攻击,主要攻击中国政府和教育单位的网站,发现最多的攻击骇客组织则是与伊斯兰骇客往来密切、针对.cn网站长期持续攻击的“chinafans”,以及来自土耳其的网军“Akincilar”,主要是以攻击中国、美国和以色列为主,中国教育类网站是最严重的受骇类型。
6类网络安全事件层出不穷
该份报告指出,中国最常见的网络攻击事件大致可分成6种,包括网页窜改、恶意连结和挂马、机敏资讯外泄、网站可用性不良、DNS解析异常以及假冒网站等。
以网页窜改为例,该份报告指出,受骇最严重的产业其实是地方企业(37.4%)、电信业者(23%)和政府(13.5%)最高;恶意连结和挂马可以分成6类,超过7成(75.2%)和博彩有关,其次为游戏类(11.9%)、广告推销(8.1%)、医疗(3.1%)、色情(1.3%)和影视(0.4%);在机敏资讯外泄的行业别中,多数是三大产业:地方企业(59.2%)、能源业(16.6%)和政府(16.1%);假冒网站的部分,超过7成(70.2%)以假冒政府网站为主,将近3成(28.6%)假冒网站是以金融业为主。
中国网站面临各种资安风险,针对政府和企业所做的调查中发现,95%的单位都有专门的人负责安全维运,但是安全团队超过5人的单位则不到20%,也有超过一半的单位没有资安制度和资安事件的紧急应变SOP流程。从这份调查中也可以看出来,中国网站有超过70%都是委外建置,超过40%是委外代管,当多数单位对于委外过程了解不足时,也很容易带来许多的资安隐忧。
但整体而言,多数的中国网站维运的单位没有定期做安全扫描的习惯,也难以掌握网站安全现况;因为不了解网站的资安风险所在,也就难以进一步修复网站,当然,也会面临缺乏资源(人和钱)修复漏洞的情况。但是,资安人员最害怕的事情则是,因为漏洞太多,根本没有时间修复,日复一日,网站只有更越来越危险,对于所有网站浏览者而言,因为不清楚网站的安全与否,可能在无形之中就成为受骇者。
@资料来源:2016年上半年中国网站安全报告,2016年12月
中国网站受到的Web攻击事件次数高达2亿8361.5万次,,超过3成(35.4%)是服务器的资料外泄,27.8%是SQL注入攻击(SQL Injection),跨站脚本攻击(XSS)比例也有18%。
相关文章
- YouTube更新违反规定政策,提升惩处透明度和一致性
2023-12-31 14:00:52
- 传苹果将把中国iCloud正式交给本地化经营 苹果手机icloud换区存储操作
2023-12-27 18:34:43
- 刘德华代言什么手机?刘德华成华为Mate 60 RS非凡大师华为5G新手机代言人
2023-09-26 21:55:08
- WebOS新系统:Palm Pre手机最新款高价登港
2023-06-23 15:39:14
- 帮助企业组织对抗勒索软件,资安通报机构设立防护专区,可协助事前、事中与事后因应
2023-06-22 09:36:10
- 蔚来全系产品降价3万 取消免费换电 换一次电池180元
2023-06-12 17:27:49
- 电商平台三巨头开打最大规模折扣 价格战再次打响
2023-03-05 18:58:40
- 爱立信节省成本裁员四千人 爱立信全球员工总数五分之一
2023-02-24 22:27:29
- 蜜芽关停近况,八位数重金买三字顶级新域名mia.com也关闭
2023-02-23 16:18:14
- 联想CEO杨元庆:联想集团需要裁员32%削减部分业务支出
2023-02-18 12:45:25
- 蓝色光标2022营收亏损18亿 客户预算减少明显
2023-02-18 12:40:08
- 三星工厂或将80%生产转至越南 因本地劳动力成本上升
2023-02-17 23:09:16
- 香港八达通卡如何激活?没用失效过期余额怎么办
2023-02-17 18:34:51
- 中兴通讯被曝将裁员20% 称只裁国外的
2023-02-17 18:33:26
- 苹果新iPhone15Pro手机终于改用USB-C(火牛)数据线??Lightning充电接口退出
2023-02-17 16:57:22
- 突发!蓝色光标曾为中国民企500强龙头 如今业绩亏损断崖下跌
2023-02-16 14:31:19
- 三星发布自家carplay车载中控系统 Car Mode for Galaxy 可以连接carplay吗?
2023-02-14 00:53:17
- Opera浏览器宣布集成ChatGPT 一键生成网页内容摘要
2023-02-14 00:32:08
- 谷歌google计划重返进入中国市场?但结果可能令你失望
2023-02-13 16:57:15
- Zoom紧急裁员1300人 佔员工总数15%
2023-02-08 14:59:11
最新资讯
- YouTube更新违反规定政策,提升惩处透明度和一致性2023-12-31 14:00:52
- 美国法院裁定阿里须为Squishmallows玩具侵权案答辩2023-12-28 19:59:34
- 小米汽车传员工3700人 雷军称小米汽车不可能卖9万92023-12-28 19:41:57
- 吉利飙逾6% 电动车品牌极氪新车款极氪007昨上市 预售价格22.99万元2023-12-28 19:30:28
- 日本丰田汽车厂11月全球产量创新高2023-12-28 19:26:02
手机
- 中国11月手机出货量增34% 5G手机出货量2709.2万部2023-12-28 19:27:57
- 荣耀发布新一代旗舰荣耀Magic5系列,新款上市价格分期0首付3999元起2023-03-06 16:12:32
- 美国商务部指违禁,长江存储被美国拜登制裁名单面临停工裁员2023-02-17 18:41:53
- 苹果Apple iOS车载系统CarPlay支持哪些更多汽车品牌2023-02-02 17:33:27
- 香港去哪买三星手机回来吗? 买香港便宜售价手机市场地点和网站2023-02-02 11:03:11
数码
- 华为5G芯片正式亮相:预示华为将发首款5G手机2023-08-31 13:22:33
- 腾讯传计划放弃虚拟现实VR硬件计划2023-02-17 23:32:30
- 三星手机份额大跌!三星手机中国市场份额变化国内仅剩3%2023-02-01 17:06:15
- 三星手机份额大跌在中国没市场了!国内市场占有率仅剩1%国外比苹果销量高2023-02-01 16:59:53
- vivo发布2022 vivoNEX手机极简易浏览器下载:简洁流畅无广告!2022-12-02 17:29:30
科技
- 中兴受美国制裁事件 被罚了20亿美元过程事件始末 中兴被制裁后公司现状2023-11-02 22:12:46
- B站怎么炸崩了哔哩哔哩服务器今日怎么又炸挂了?技术团队公开早先原因2023-03-06 19:05:55
- 苹果iPhoneXS/XR手机电池容量续航最强?答案揭晓2023-02-19 15:09:54
- 华为荣耀两款机型起内讧:荣耀Play官方价格同价同配该如何选?2023-02-17 23:21:27
- google谷歌原生系统Pixel3 XL/4/5/6 pro手机价格:刘海屏设计顶配版曾卖6900元2023-02-17 18:58:09