摘要
網(wǎng)站漏洞:
2014年全年,360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站164.2萬個����;其中,存在安全漏洞的網(wǎng)站為61.7萬個�����,占掃描網(wǎng)站總數(shù)的37.6%;存在高危安全漏洞的網(wǎng)站共有27.9萬個�,占掃描網(wǎng)站總數(shù)的17.0%。
360網(wǎng)站安全檢測全年共掃描發(fā)現(xiàn)網(wǎng)站高危漏洞462.1萬次��,平均每天約13836次����。
在所有掃出漏洞中,跨站腳本漏洞(33.7%)和報錯型SQL注入漏洞(14.5%)這兩類高危安全漏洞占比最高�,二者之和接近網(wǎng)站所有漏洞檢出總次數(shù)的一半。
網(wǎng)站修復(fù)安全漏洞平均周期為78天���,其中�,高危漏洞修復(fù)平均周期最長��,為118天�����,中危�����、低危漏洞的平均修復(fù)周期分別為57天、58天����。
OpenSSL心臟出血漏洞、Shellshock破殼漏洞��、Struts2-021補丁繞過漏洞是2014年最具影響的三大安全漏洞�����。
網(wǎng)站篡改與后門:
2014年全年����,360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站164.2萬個,其中�,被篡改的網(wǎng)站17.7萬個,約占掃描網(wǎng)站總數(shù)的10.8%���。
2014年全年�����,360網(wǎng)站安全檢測共對8409臺網(wǎng)站服務(wù)器進行了網(wǎng)站后門檢測,覆蓋網(wǎng)站199.6萬個��,掃描共發(fā)現(xiàn)約3465臺服務(wù)器存在后門,占所有掃描網(wǎng)站服務(wù)器的41.2%��。 統(tǒng)計顯示�����,服務(wù)器刪除新發(fā)現(xiàn)后門的平均周期為8.28天�。
2014年,惡意SEO后門的流行和新型網(wǎng)站后門管理工具QuasiBot的出現(xiàn)特別值得關(guān)注���。
漏洞攻擊:
2014年全年�����,360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊7.0億次���,平均每天攔截漏洞攻擊209.6萬次。
平均每月有11.0萬個網(wǎng)站遭遇各類漏洞攻擊����,其中,11月是網(wǎng)站遭遇漏洞攻擊最為頻繁的一個月����,平均每天約有6667個網(wǎng)站遭到漏洞攻擊��。
從發(fā)起漏洞攻擊IP的地域分布來看����,91.4%攻擊者IP來自境內(nèi)地區(qū)�����,來自境外的攻擊僅為8.6%��。其中�,境內(nèi)攻擊主要來自北京(32.9%)、江蘇(13.9%)����、浙江(11.4%)、山東(10.0%)��、廣東(7.40%)����。
從遭到漏洞攻擊IP的地域分布來看,96.0%受害者IP為自境內(nèi)地區(qū)����,境外的受害者僅為4.0%。其中����,境內(nèi)遭到漏洞攻擊最多的地區(qū)是北京(18.1%)、河南(14.0%)�、四川(13.8%)、浙江(11.7%)��、江蘇(7.42%)等��。
流量攻擊:
2014年全年����,360網(wǎng)站衛(wèi)士共攔截各類CC攻擊205.0億次,平均每天攔截CC攻擊6138萬次�����。統(tǒng)計顯示��,全年共有15.6萬個網(wǎng)站被遭遇CC攻擊�。
94.6%的CC攻擊來自境內(nèi)地區(qū),其中����,來自浙江CC攻擊數(shù)量最多�,占境內(nèi)CC攻擊的12.0%���,其次是廣東(11.8%)和山東(6.17%)�。
2014年全年��,360網(wǎng)站衛(wèi)士平均每月攔截各類DDoS攻擊744.4Gb/s����。5月(1389Gb/s)和7月(1444Gb/s)是全年攔截DDoS攻擊的高峰期。
網(wǎng)站安全性行業(yè)分析:
在各行業(yè)網(wǎng)站中���,電子商務(wù)類網(wǎng)站存在高危漏洞比例最高��,為26%�;其次為生活信息類(24%)���、醫(yī)療衛(wèi)生(22%)和企業(yè)公司(21%)���。銀行類網(wǎng)站相對安全性較高,存在高危漏洞比例最低�����。
各個行業(yè)網(wǎng)站修復(fù)漏洞平均周期也有很大差別:音樂影視類、政務(wù)網(wǎng)站漏洞平均修復(fù)周期最長��,分別為97天和86天���,其網(wǎng)站安全意識有待提高;而游戲網(wǎng)站�、醫(yī)療衛(wèi)生類網(wǎng)站修復(fù)漏洞平均周期較短,分別為65天和66天����。
醫(yī)療衛(wèi)生、政府網(wǎng)站和社區(qū)論壇最容易遭到漏洞攻擊����。一般來說,一個網(wǎng)站遭遇的平均漏洞攻擊量越大��,也就意味著這個網(wǎng)站對于攻擊者來說���,利用的價值越高��。
在2014年遭遇CC 攻擊最多的100個網(wǎng)站中�,社區(qū)論壇網(wǎng)站數(shù)量最多,占比高達(dá)27.0%����;其次是企業(yè)公司(17.0%)、生活信息(16.0%)����、醫(yī)療衛(wèi)生(10.0%)。
在遭遇CC 攻擊的網(wǎng)站中�����,企業(yè)公司網(wǎng)站平均被攻擊次數(shù)最多����,高達(dá)1.63億次。事實上���,向競爭對手的網(wǎng)站發(fā)起流量攻擊�,已經(jīng)成為部分企業(yè)之間惡意競爭的常用手段�。
網(wǎng)站攻擊戰(zhàn)術(shù)最新趨勢:
網(wǎng)站攻擊與漏洞利用正在向批量化,規(guī)?���;较虬l(fā)展���,主要表現(xiàn)在以下五個方面:撞庫攻擊越演越烈、全網(wǎng)知識庫大大豐富�����、建站系統(tǒng)漏洞被廣泛利用��、新漏洞發(fā)現(xiàn)與利用的速度越來越快�、第三方代碼托管平臺被攻擊�。
從2014年曝出的多起安全事件分析來看,利用網(wǎng)站服務(wù)器與手機APP之間的接口存在的漏洞對網(wǎng)閘服務(wù)器發(fā)起攻擊��,已經(jīng)成為一種流行趨勢���。
網(wǎng)頁篡改被大量用于釣魚攻擊����,2104年下半年�,特別是7月-9月間,大量政府教育類網(wǎng)站遭篡改并被植入大量釣魚頁面��。
網(wǎng)站防護技術(shù)前沿趨勢:
安全檢測從主動式掃描向被動式掃描轉(zhuǎn)變�。
自動化掃描向自動化掃描與人工漏洞挖掘相結(jié)合轉(zhuǎn)變��。
補天平臺:
2014年����,補天平臺共收錄2490名“白帽子”提交的有效0day漏洞24724個���,平均每天收錄有效0day漏洞70個��。其中�����,共有1229名白帽子提交了通用漏洞5407個����,1883名白帽子提交了事件漏洞19317個���。
2014全年��,補天平臺共向357名白帽子發(fā)布獎金167.8萬元���,其中事件漏洞付款金額為61823元,通用漏洞付款金額:161.6萬元��。
90后目前已經(jīng)是白帽子的絕對主力,占比高達(dá)63.8%�����,80后占比34.4% ���,00后占比1.8%���。此外,在補天平臺2490名白帽子中��,僅4名為女性�����,女性僅占不足0.2%��。某種程度上說�����,白帽子的世界就是男人的世界��。
企業(yè)網(wǎng)站與管理系統(tǒng)的主要安全問題往往并不是那些技術(shù)復(fù)雜度很高的網(wǎng)站漏洞�����,而是一些比較低級的技術(shù)錯誤或人為的失誤�,主要表現(xiàn)在以下三個方面:密碼安全性不足、運維配置不當(dāng)����、SQL注入漏洞。
報告下載地址:http://yunpan.cn/cy5kJC3GqLbwQ (提取碼:5fdb)
本文轉(zhuǎn)載自 360互聯(lián)網(wǎng)安全中心
業(yè)務(wù)專線:15989169178
