報告下載:新增199IT官方微信【i199it】,回覆關鍵詞【2016年中國網站安全漏洞形勢分析報告】即可
摘要 :
- 2016年全年(截至11月15日),360網站安全檢測平臺共掃描各類網站197.9萬個,其中,存在漏洞的網站91.7萬個,佔比為46.3%;存在高危漏洞的網站14.0萬個(全年去重),佔掃描網站總數的7.1%。
- 從檢測出漏洞的危險等級來看,高危漏洞數量佔26.4%,中危佔10.4%,低危佔63.2%。
- 360網站安全檢測平臺全年共掃描發現網站高危漏洞480.8萬次,較2015年267.7萬次大幅增長80%,平均每月掃出高危漏洞約45.8萬次;平均每天掃出高危漏洞約1.5萬次。3月份是掃出高危漏洞最多的月份,數量達到103.4萬次。
- 應用程式錯誤資訊(24.4%)、異常頁面導致伺服器路徑洩露(11.8%)和跨站指令碼攻擊漏洞(16.0%)這三類是佔比最高的網站安全漏洞,之和超過總次數的60%。
- 2016年1月1日-11月15日,補天平臺公有SRC共收錄各類網站安全漏洞32277個,私有SRC(含眾測)收錄漏洞4911個,總共漏洞數為37188個;從涉及web站點看,補天平臺收錄的漏洞涉及網站(按域名統計)共30329個。
- 2016年被報告漏洞的備案網站中,有24.2%的網站已加入補天,75.8%的網站未加入。
- 2016年補天平臺收錄的漏洞中,備案網站的漏洞有23982個,佔比為74.3%,未備案或備案已過期的網站漏洞有8295個,佔比為25.7%。從網站角度看,備案網站有22929個,佔比為75.6%,未備案或備案已過期的網站佔比為24.4%。
- 2016年補天平臺收錄的網站漏洞中,通用型漏洞佔比為6.1%,相比2015年的(13.7%)有所下降。高危漏洞佔50.6%,中危漏洞佔35.4%,低危漏洞佔14.0%。
- 從漏洞性質看,在備案的網站中,通用型漏洞比例很低,僅為0.2%,絕大多數漏洞(99.8%)為事件型漏洞。相比而言,沒有備案的網站存在的漏洞中,通用型漏洞比例19.7%,事件型漏洞比例為80.3%。
- 從補天平臺收錄漏洞的具體型別來看,SQL隱碼攻擊漏洞最多,佔比為44.9%,其次是命令執行和弱口令,分別佔14.0%和11.7%。
- 對2016年補天平臺的備案網站漏洞的抽樣調查顯示,平均漏洞修復率僅為42.9%。
- 根據廠商明確標記已修復的網站漏洞中,1天內修復的比例為7.5%,一週以內修復的比例為27.4%,一個月內修復的比例為33.3%,超過30天才修復為31.8%。
- 2016年(截至11月15日),360網站衛士共攔截各類網站漏洞攻擊17.1億次,較2015年16.5億次,增長了約3.7%。
- 截止到2016年11月15日,2016年平均每天攔截漏洞攻擊534.4萬次。5、6月和7月是攻擊量最大的三個月。
- 截至到2016年11月15日,全年遭受到漏洞網站共計63.6萬個(全年去重),佔360網站衛士覆蓋總量(163.6萬)的38.9%。平均每月有14.3萬個網站遭遇各類漏洞攻擊,與2015年平均每月17.1萬個相比下降了16.4%。
- 66.9%受害者IP為境內地區。其中,34.2%來自北京,居於首位,其次分別為浙江(24.8%)、四川(11.4%)、廣東(5.6%)、江蘇(4.7%)等。
- 33.1%受害者IP為境外地區。其中,72.5%的受害者來自加拿大,排在第一位,其次是美國(25.6%)、韓國(0.7%)、羅馬利亞(0.2%)、日本(0.1%)等。
- 2016年遭到漏洞攻擊的十大城市,北京遭到攻擊的IP最多,高達1.2億次,居於全國首位;其次是成都、上海、南京、鄭州、廣州、杭州、合肥、深圳和福州。
- 從發起漏洞攻擊IP的地域分佈來看,76.6%攻擊者IP來自境內地區。其中,39.7%來自江蘇,居於首位;其次分別為北京(30.6%)、河南(12.5%)、浙江(2.1%)、上海(2.0%)、廣東(1.8%)等。
- 23.4%攻擊者IP來自境外地區。其中,44.6%來自俄羅斯,其次是美國(33.9%)、加拿大(7.5%)等。
- 2016年發起漏洞攻擊最多的十大城市。從南京發起漏洞攻擊的IP最多,高達5.0億次,居於全國首位;其次是北京(3.89億次)、鄭州(1.59億次)、上海、武漢、杭州、合肥、天津、福州和南昌。
- 一週之內漏洞攻擊的分佈統計,星期四是一週中漏洞攻擊最為集中的一天,佔總攻擊量中的15.5%,而週六的攻擊量則相對最少,僅佔總攻擊量的13.7%。
- 一天之內漏洞攻擊的分佈統計,漏洞攻擊多集中於下午15-17點之間,在16點達到最高峰,而早上5-8點是漏洞攻擊比較稀少的時段,凌晨8點最為安全。
- 2016年(截止11月15日)補天平臺收錄的不同備案網站的漏洞總量為23982個(共涉及22929個網站),其中高危漏洞為10719個。
- 補天平臺收錄的備案網站漏洞中,企業網站的漏洞數量是最多的,佔比為50.3%,事業單位網站為24.7%,政府機關網站為16.0%,個人網站為6.6%,社會團體網站為2.5%。
- 從高危漏洞網站來看,社會團體網站高危漏洞佔比最多,為47.5%,企業網站為47.3%,事業單位網站為43.3%,政府機關網站為41.7%,個人網站為36.4%。
- 政府機關網站的漏洞修復率是最高的,佔比為77.1%,其次事業單位網站為68.1%,企業網站為45.5%,個人網站為40.1%,社會團體網站為38.3%。從高危漏洞修復率來看,政府機關網站同樣是修復最高的。
- 在所有企業、個人備案的網站中,統計顯示,IT/網際網路行業網站被報告的漏洞最多,佔比為23.5%。
- 從高危漏洞網站來看,電信運營商網站高危漏洞佔比最多,為56.0%,生產製造為54.4%。遊戲類網站排名第三。佔比為51.0%。
- 電信運營商網站的漏洞修復率是最高的,佔比為83.5%;其次是金融網站為81.3%,汽車交通網站為58.0%,媒體網站為57.8%。
- 從高危漏洞修復率來看,金融網站修復率是最高的,佔比為83.3%,其次電信運營商網站75.6%,汽車交通網站70.2%。
- 2016年(截止11月15日),共有2362名白帽子向補天平臺提交有效漏洞37188個(其中公有SRC收錄32277個,私有SRC收錄4911個)。
- 2362名白帽子獲得獎金420.3萬元,其中通用型漏洞佔比為16.7%,事件型漏洞83.3%。
- 2016年獲補天平臺獎金最多的三位白帽子分別是carry_your、system_gov和hckmaple,三人各自獲得的獎金皆超過20萬。
- 從報給補天平臺並被收錄的漏洞總數來看,挖洞最多的是hckmaple,共貢獻1136個漏洞,平均每天挖洞3.6個,堪稱“挖洞”勞模。
- 2016年(截止到11月15日),共有119名女性白帽子提交漏洞,佔比為10.2%,相比2015年的2.8%,有較大幅度提升。
- 從獲得獎金額度佔比方面來看,男性白帽子佔據絕對優勢,達到98.5%,女性白帽子獲得獎金額度佔比僅為1.5%,不過,和2015年(1.1%)相比略有上升。
- 從白帽子的註冊資訊來看,在2016年向補天平臺提交漏洞的白帽子中,年齡最小的14歲,年齡最大的66歲。其中,19歲-24歲之間的白帽子數量最多,約佔總數的50%。
- 從年齡段來看,年輕的“90後”目前仍然是白帽子的絕對主力,佔白帽子總量的70.7%,“80後”次之,佔19.3%。相比2015年“00後”白帽子僅佔0.9%,2016年約有2.6%的白帽子是16歲及以下的青少年,比例和數量都大為提高。
報告下載:新增199IT官方微信【i199it】,回覆關鍵詞【2016年中國網站安全漏洞形勢分析報告】即可