360：2016年中國網站安全漏洞形勢分析報告（附下載）

DinK發表於2017-02-04

網站

報告下載：新增199IT官方微信【i199it】，回覆關鍵詞【2016年中國網站安全漏洞形勢分析報告】即可

摘要：

2016年全年（截至11月15日），360網站安全檢測平臺共掃描各類網站197.9萬個，其中，存在漏洞的網站91.7萬個，佔比為46.3%；存在高危漏洞的網站14.0萬個（全年去重），佔掃描網站總數的7.1%。
從檢測出漏洞的危險等級來看，高危漏洞數量佔26.4%，中危佔10.4%，低危佔63.2%。
360網站安全檢測平臺全年共掃描發現網站高危漏洞480.8萬次，較2015年267.7萬次大幅增長80%，平均每月掃出高危漏洞約45.8萬次；平均每天掃出高危漏洞約1.5萬次。3月份是掃出高危漏洞最多的月份，數量達到103.4萬次。
應用程式錯誤資訊（24.4%）、異常頁面導致伺服器路徑洩露（11.8%）和跨站指令碼攻擊漏洞（16.0%）這三類是佔比最高的網站安全漏洞，之和超過總次數的60%。
2016年1月1日-11月15日，補天平臺公有SRC共收錄各類網站安全漏洞32277個，私有SRC（含眾測）收錄漏洞4911個，總共漏洞數為37188個；從涉及web站點看，補天平臺收錄的漏洞涉及網站（按域名統計）共30329個。
2016年被報告漏洞的備案網站中，有24.2%的網站已加入補天，75.8%的網站未加入。
2016年補天平臺收錄的漏洞中，備案網站的漏洞有23982個，佔比為74.3%，未備案或備案已過期的網站漏洞有8295個，佔比為25.7%。從網站角度看，備案網站有22929個，佔比為75.6%，未備案或備案已過期的網站佔比為24.4%。
2016年補天平臺收錄的網站漏洞中，通用型漏洞佔比為6.1%，相比2015年的（13.7%）有所下降。高危漏洞佔50.6%，中危漏洞佔35.4%，低危漏洞佔14.0%。
從漏洞性質看，在備案的網站中，通用型漏洞比例很低，僅為0.2%，絕大多數漏洞（99.8%）為事件型漏洞。相比而言，沒有備案的網站存在的漏洞中，通用型漏洞比例19.7%，事件型漏洞比例為80.3%。
從補天平臺收錄漏洞的具體型別來看，SQL隱碼攻擊漏洞最多，佔比為44.9%，其次是命令執行和弱口令，分別佔14.0%和11.7%。
對2016年補天平臺的備案網站漏洞的抽樣調查顯示，平均漏洞修復率僅為42.9%。
根據廠商明確標記已修復的網站漏洞中，1天內修復的比例為7.5%，一週以內修復的比例為27.4%，一個月內修復的比例為33.3%，超過30天才修復為31.8%。
2016年（截至11月15日），360網站衛士共攔截各類網站漏洞攻擊17.1億次，較2015年16.5億次，增長了約3.7%。
截止到2016年11月15日，2016年平均每天攔截漏洞攻擊534.4萬次。5、6月和7月是攻擊量最大的三個月。
截至到2016年11月15日，全年遭受到漏洞網站共計63.6萬個（全年去重），佔360網站衛士覆蓋總量（163.6萬）的38.9%。平均每月有14.3萬個網站遭遇各類漏洞攻擊，與2015年平均每月17.1萬個相比下降了16.4%。
66.9%受害者IP為境內地區。其中，34.2%來自北京，居於首位，其次分別為浙江（24.8%）、四川（11.4%）、廣東（5.6%）、江蘇（4.7%）等。
33.1%受害者IP為境外地區。其中，72.5%的受害者來自加拿大，排在第一位，其次是美國（25.6%）、韓國（0.7%）、羅馬利亞（0.2%）、日本（0.1%）等。
2016年遭到漏洞攻擊的十大城市，北京遭到攻擊的IP最多，高達1.2億次，居於全國首位；其次是成都、上海、南京、鄭州、廣州、杭州、合肥、深圳和福州。
從發起漏洞攻擊IP的地域分佈來看，76.6%攻擊者IP來自境內地區。其中，39.7%來自江蘇，居於首位；其次分別為北京（30.6%）、河南（12.5%）、浙江（2.1%）、上海（2.0%）、廣東（1.8%）等。
23.4%攻擊者IP來自境外地區。其中，44.6%來自俄羅斯，其次是美國（33.9%）、加拿大（7.5%）等。
2016年發起漏洞攻擊最多的十大城市。從南京發起漏洞攻擊的IP最多，高達5.0億次，居於全國首位；其次是北京（3.89億次）、鄭州（1.59億次）、上海、武漢、杭州、合肥、天津、福州和南昌。
一週之內漏洞攻擊的分佈統計，星期四是一週中漏洞攻擊最為集中的一天，佔總攻擊量中的15.5%，而週六的攻擊量則相對最少，僅佔總攻擊量的13.7%。
一天之內漏洞攻擊的分佈統計，漏洞攻擊多集中於下午15-17點之間，在16點達到最高峰，而早上5-8點是漏洞攻擊比較稀少的時段，凌晨8點最為安全。
2016年（截止11月15日）補天平臺收錄的不同備案網站的漏洞總量為23982個（共涉及22929個網站），其中高危漏洞為10719個。
補天平臺收錄的備案網站漏洞中，企業網站的漏洞數量是最多的，佔比為50.3%，事業單位網站為24.7%，政府機關網站為16.0%，個人網站為6.6%，社會團體網站為2.5%。
從高危漏洞網站來看，社會團體網站高危漏洞佔比最多，為47.5%，企業網站為47.3%，事業單位網站為43.3%，政府機關網站為41.7%，個人網站為36.4%。
政府機關網站的漏洞修復率是最高的，佔比為77.1%，其次事業單位網站為68.1%，企業網站為45.5%，個人網站為40.1%，社會團體網站為38.3%。從高危漏洞修復率來看，政府機關網站同樣是修復最高的。
在所有企業、個人備案的網站中，統計顯示，IT/網際網路行業網站被報告的漏洞最多，佔比為23.5%。
從高危漏洞網站來看，電信運營商網站高危漏洞佔比最多，為56.0%，生產製造為54.4%。遊戲類網站排名第三。佔比為51.0%。
電信運營商網站的漏洞修復率是最高的，佔比為83.5%；其次是金融網站為81.3%，汽車交通網站為58.0%，媒體網站為57.8%。
從高危漏洞修復率來看，金融網站修復率是最高的，佔比為83.3%，其次電信運營商網站75.6%，汽車交通網站70.2%。
2016年（截止11月15日），共有2362名白帽子向補天平臺提交有效漏洞37188個（其中公有SRC收錄32277個，私有SRC收錄4911個）。
2362名白帽子獲得獎金420.3萬元，其中通用型漏洞佔比為16.7%，事件型漏洞83.3%。
2016年獲補天平臺獎金最多的三位白帽子分別是carry_your、system_gov和hckmaple，三人各自獲得的獎金皆超過20萬。
從報給補天平臺並被收錄的漏洞總數來看，挖洞最多的是hckmaple，共貢獻1136個漏洞，平均每天挖洞3.6個，堪稱“挖洞”勞模。
2016年（截止到11月15日），共有119名女性白帽子提交漏洞，佔比為10.2%，相比2015年的2.8%，有較大幅度提升。
從獲得獎金額度佔比方面來看，男性白帽子佔據絕對優勢，達到98.5%，女性白帽子獲得獎金額度佔比僅為1.5%，不過，和2015年（1.1%）相比略有上升。
從白帽子的註冊資訊來看，在2016年向補天平臺提交漏洞的白帽子中，年齡最小的14歲，年齡最大的66歲。其中，19歲-24歲之間的白帽子數量最多，約佔總數的50%。
從年齡段來看，年輕的“90後”目前仍然是白帽子的絕對主力，佔白帽子總量的70.7%，“80後”次之，佔19.3%。相比2015年“00後”白帽子僅佔0.9%，2016年約有2.6%的白帽子是16歲及以下的青少年，比例和數量都大為提高。