【资安周报第55期】中国网站比你想的更危险，平均有773个漏洞没修

日前，中国电信、安全帮、绿盟科技和安恒信息联手发表一份“2016年上半年中国网站安全报告”，扫描38.2万个网站后发现，共有网站安全漏洞1,480.5万个漏洞，平均每个网站有773个漏洞，高危险漏洞数量为22个，比去年同期增加17.5％；其中，有37.3％的中国网站有XSS漏洞；若从产业来看，则有75％的地方政府和地方企业网站有高风险漏洞，其中XSS漏洞占所有高风险漏洞38.3％，表示中国有51.1％的地方政府和地方企业网站有XSS漏洞，比台湾31.5％重要政府官网有XSS漏洞还高。

从这份中国民间释出的网站安全报告可以发现，这些重点漏洞多年来的修复速度缓慢，导致许多网站受害严重，包括民间地方企业和地方政府的多数网站，都处于不安全的状态，因此在浏览中国网站时，仍必须留意不要点击不明的网址连结以确保使用者安全。

中国网站最严重的漏洞就是XSS，平均每个网站有773个漏洞

这份报告分成3个数据，包括扫描出来的漏洞、网络监测到的疑似攻击以及网站安全事件。首先，该份报告指出，资安业者监控382,947个网站，扫描出来的漏洞高达14,80.5万个，经过验证的高危险漏洞占漏洞扫描总数的2.8％，平均每个网站有773个漏洞，高危险漏洞数量为22个，比去年同期增加17.5％。骇客往往可以利用这些高危险漏洞完全掌控该受骇网站，也可以绕过系统防火墙控制整个网站服务器，进而危害到整个网站的正常运作。

从揭露的漏洞中可以发现，高危险性的跨站脚本攻击（XSS）漏洞是所有漏洞中数量最多的，将近14.3万个漏洞，占所有高风险漏洞近4成（38.3％）；以行业别来看，75％的地方政府和地方企业都有这些高风险的漏洞，而XSS漏洞占所有高风险漏洞的38.3％，意味着，中国有51.1％的地方政府和地方企业网站都有XSS漏洞。

骇客可以利用这样的漏洞在网站中植入任意的代码，插入各种iframe，不论是窃取网站管理员或使用者的Cookie，隐藏网页挂码的存在，甚至是格式化使用者的电脑硬盘等，只要是这些脚本程式可以做到的功能，都是有XSS漏洞网站必须要面对的潜在威胁。

该份报告中排名第二名～第五名的漏洞依序就是：链接注入漏洞、SQL注入漏洞（SQL Injection）、框架注入漏洞和Cookie注入漏洞，和威胁最高的XSS相比，后续漏洞的数量大约占整体高风险漏洞的10％左右，比例虽然较少，但是危害仍大。

链接注入（Injection with url as payload）和框架注入都算是跨站脚本攻击的一种变种攻击，可以直接在使用者浏览的网页中植入各种恶意连结或各种输入框，如果上述植入的恶意连结或是输入框涉及使用者账号密码，也意味着骇客可以利用这个漏洞窃取使用者的机敏资料。

另外，骇客也可以利用常见的SQL Injection漏洞，除了窃取并外泄网站数据库的资讯，也可以窜改数据库资料或把整个数据库删除；Cookie注入漏洞手法较为复杂，但危险性和SQL Injection类似，也可以窃取网站管理员和使用者的账号、密码。

从该份报告中也可以发现，有56.15％的地方政府网站和19.27％地方企业网站都具有上述高风险漏洞，合计占高风险漏洞的75％；若进一步分析，地方企业网站平均有58个高风险漏洞，政府网站平均有17个高风险漏洞。

网站攻击手法以服务器资料外泄比例最高，其次为SQL注入和XSS

从该份资安报告来看，可以发现骇客也经常利用自动化扫描工具针对网站进行扫描，目前可以得知，骇客最常针对网站的目录和网页写爬虫程式，以了解整个网站内容架构。例如，骇客若要尝试入侵使用者网站时，会利用暴力破解方式取得后台管理指令，也同时利用目录越权访问和SQL注入攻击等手法；最常拜访的网页页面是网站管理登入页面、搜索页面、数据库文件保存页面和网页后门页面等等。

该份报告也揭露中国网站受到攻击的来源位址或国家，骇客最主要发动攻击的来源中，超过一半来自湖北（54.5％），其次为浙江（14％）、广东（10.8％）、北京（7.5％）和山东（5.3％），另外有2.2％的攻击来自美国，排名第七名。以湖北为例，甚至有一台来自湖北武汉的受骇主机，已经对外发动960万次的攻击且会自动离线消除攻击的踪迹。

这些中国网站受到的Web攻击事件次数高达2亿8361.5万次，，超过3成（35.4％）是服务器的资料外泄，27.8％是SQL注入攻击（SQL Injection），跨站脚本攻击（XSS）比例也有18％。

但最有趣的是，从该份报告中看出资安业者对于Web攻击区分成4类攻击行为模式，分别是中国白帽骇客对政府、金融和重点企业的全面扫描和定点渗透；中国黑产对政府、金融及重点企业的定点、持续性渗透；国外骇客、敌对组织对中国网站长期、无差别的扫描与随机渗透；以及最后一种是中国黑产组织对攻击目标网站的定点DDoS攻击。

上述提到的白帽骇客的扫描和渗透，报告中则指出，这些揭露网站漏洞的白帽骇客已经转成灰帽骇客，加上漏洞提报平台良莠不齐，白帽骇客的增加及大量使用自动化扫描工具，也对中国网站的防御能力和系统资源的使用带来压力，甚至于，报告中也认为，白帽骇客揭露的漏洞，也会带来机敏资料二次外泄或公众恐慌。

从这样的报告说明中，也可以看出，中国最大也最早的漏洞揭露平台乌云自从今年7月20日“无限期升级”的公告以来，迄今迟迟没有复站的消息，也可以大致看出，当中国官方反对漏洞揭露的行为时，中国资安产业对于这类漏洞揭露的态度更是渐趋保守。

中国也同样遭到外部的组织型骇客攻击，主要攻击中国政府和教育单位的网站，发现最多的攻击骇客组织则是与伊斯兰骇客往来密切、针对.cn网站长期持续攻击的“chinafans”，以及来自土耳其的网军“Akincilar”，主要是以攻击中国、美国和以色列为主，中国教育类网站是最严重的受骇类型。

6类网络安全事件层出不穷

该份报告指出，中国最常见的网络攻击事件大致可分成6种，包括网页窜改、恶意连结和挂马、机敏资讯外泄、网站可用性不良、DNS解析异常以及假冒网站等。

以网页窜改为例，该份报告指出，受骇最严重的产业其实是地方企业（37.4％）、电信业者（23％）和政府（13.5％）最高；恶意连结和挂马可以分成6类，超过7成（75.2％）和博彩有关，其次为游戏类（11.9％）、广告推销（8.1％）、医疗（3.1％）、色情（1.3％）和影视（0.4％）；在机敏资讯外泄的行业别中，多数是三大产业：地方企业（59.2％）、能源业（16.6％）和政府（16.1％）；假冒网站的部分，超过7成（70.2％）以假冒政府网站为主，将近3成（28.6％）假冒网站是以金融业为主。

中国网站面临各种资安风险，针对政府和企业所做的调查中发现，95％的单位都有专门的人负责安全维运，但是安全团队超过5人的单位则不到20％，也有超过一半的单位没有资安制度和资安事件的紧急应变SOP流程。从这份调查中也可以看出来，中国网站有超过70％都是委外建置，超过40％是委外代管，当多数单位对于委外过程了解不足时，也很容易带来许多的资安隐忧。

但整体而言，多数的中国网站维运的单位没有定期做安全扫描的习惯，也难以掌握网站安全现况；因为不了解网站的资安风险所在，也就难以进一步修复网站，当然，也会面临缺乏资源（人和钱）修复漏洞的情况。但是，资安人员最害怕的事情则是，因为漏洞太多，根本没有时间修复，日复一日，网站只有更越来越危险，对于所有网站浏览者而言，因为不清楚网站的安全与否，可能在无形之中就成为受骇者。

＠资料来源：2016年上半年中国网站安全报告，2016年12月

中国网站受到的Web攻击事件次数高达2亿8361.5万次，，超过3成（35.4％）是服务器的资料外泄，27.8％是SQL注入攻击（SQL Injection），跨站脚本攻击（XSS）比例也有18％。