網站漏洞
- 2015年全年,360網站安全檢測平臺共掃描各類網站231.2萬個;其中,存在安全漏洞的網站為101.5萬個,佔掃描網站總數的43.9%;存在高危安全漏洞的網站共有30.8萬個,佔掃描網站總數的13.0%。
- 360網站安全檢測平臺全年共掃描發現網站高危漏洞265.1萬次,較2014年的462.1萬次下降了約一半;掃描發現網站高危漏洞的比例為21.7%,中危佔10.2%,低危佔68.1%。與2014年相比,今年高、中危漏洞掃出比例大幅下降。
- 2015年(截至11月18日)補天共收錄的各類網站漏洞總數為37943個,平均每月3161個。其中,高危漏洞佔比為71.2%;從漏洞性質上看,事件型漏洞佔86.3%,通用型漏洞佔比13.7%。
- 網站修復安全漏洞比例極低,僅為4.7%;在已修復的比例中,24小時內修復的比例為10.3%,2-3天內修復的比例為14.1%,4-7天內修復的比例為23.8%,其餘修復週期大於一週(7天)的佔一半以上。
- 網站篡改與後門
- 2015年全年,360網站安全檢測平臺共掃描各類網站231.2萬個,其中,被篡改的網站8.4萬個,約佔掃描網站總數的3.6%,網站遭篡改情況明顯好轉。
- 2015年全年,360網站安全檢測共對21854臺網站伺服器進行了網站後門檢測,覆蓋網站322.3萬個,掃描共發現約4097臺伺服器存在後門,佔所有掃描網站伺服器的18.7%。
- 2015已掃出各類網站後門檔案樣本數量多達858.1萬個,與2014年“一句話木馬”佔到了網站後門69.2%的情況不同,今年惡意SEO後門的佔比最高,為45.0%;不過感染網站伺服器最多的木馬依然是“一句話木馬”。
漏洞攻擊
- 2015年全年,360網站衛士共攔截各類網站漏洞攻擊16.5億次,平均每月攔截漏洞攻擊近1.4億次。
- 2015年平均每月有17.1萬個網站遭遇各類漏洞攻擊,其中,1月是網站遭遇漏洞攻擊最為頻繁的一個月,平均每天約有8290個網站遭到漏洞攻擊。
- 從攻擊型別看,2015年,SQL隱碼攻擊最多,攔截次數超過8億次,其次為Nginx漏洞攻擊、命令注入攻擊(Common Vulnerability)。
- 從發起漏洞攻擊IP的地域分佈來看,90.2%攻擊者IP來自境內地區,來自境外的攻擊僅為9.8%,境內佔比較2014年增長1.2個百分點;其中,境內攻擊者IP歸屬地排名前三依次是:浙江31.5%、江蘇28.3%、北京19.0%。境外攻擊者IP歸屬地排名前三依次是:法國43.5%、美國29.8%、荷蘭3.0%。
- 從遭到漏洞攻擊IP的地域分佈來看,95.7%受害者IP為境內地區IP,境外的受害者僅為4.3%。其中,境內遭到漏洞攻擊最多的地區是北京17.7%、江蘇13.2%和山東11.0%。
網站安全性行業分析
- 2015年補天平臺已收錄的網站漏洞中,備案網站的漏洞為28040個,佔比為73.9%,未備案或備案已過期的網站漏洞9903個,佔比為26.1%。漏洞共涉及22084個網站。
- 從漏洞性質看,沒有備案的網站存在的漏洞中,通用型漏洞比例達到52.1%,而備案網站中通用型漏洞比例很低,僅為0.2%,說明備案網站的安全性明顯高於未備案網站。
- 從五種不同備案型別看,企業網站報告的漏洞最多,達14981個,高危漏洞10092個,漏洞涉及11453家企業網站;其次是事業單位網站,被報漏洞6504個,高危漏洞4339個,漏洞涉及5179家事業單位網站;政府網站排第三,被報漏洞3941個,高危漏洞2805個,漏洞涉及3315家政府網站。
- 從修復率上看,企業網站的修復率是最高的,但也只有6.5%;政府網站的漏洞修復率在所有備案型別網站中排名墊底,僅為1.8%;這與普通網民對政府網站的信賴度相對較高的情況非常不相稱。
- 在七類行業網站中,共有漏洞5995個,涉及網站4280個。IT/網際網路行業網站被報告的漏洞最多,達到2330個,高危漏洞1463個,漏洞涉及網站1535個;其次為教育培訓,被報漏洞1169個,高危漏洞741個,漏洞涉及網站914個;汽車交通排第三,被報漏洞799個,高危漏洞525個,漏洞涉及網站625個。
- 從修復率上看,金融行業網站的修復率最高,但也僅為17.3%。其他修復率超過10%的行業有兩個,分別為IT/網際網路、汽車交通。而教育、能源、醫療衛生三個細分行業的修復情況不容樂觀,修復率僅約為1.8%-3.4%之間。
個人資訊洩漏
- 補天平臺統計顯示,2015年共有1410個漏洞可能造成網站上的個人資訊洩露,這些漏洞共涉及網站1282個,可能或已造成洩露的個人資訊量高達55.3億條。
- 補天平臺中的洩露資訊漏洞中,共有4個漏洞可以造成1億條以上的個人資訊洩露,可能洩露個人資訊量在6000萬到1億之間的漏洞共有11個。
- 存在洩露資訊漏洞的1068個備案網站中,企業網站佔比最高,達63.0%,政府、事業單位、個人、社會團體網站的佔比分別為20.1%、11.8%、4.1%和1.1%。
- 行業對比方面,IT/網際網路網站可能洩漏的個人資訊最多,為5.23億條;其次是醫療衛生網站2.40億條;電信運營商1.97億條;金融理財網站 1.10億條;汽車交通網站5418萬條;教育培訓2462萬條。
- 行業對比方面,從平均每個漏洞洩露的資訊量來看,醫療衛生行業排在首位,平均每個洩露資訊漏洞可能導致961萬條個人資訊洩露,其次是電信運營商563萬條/洞, IT/網際網路291萬條/洞。
- 行業對比方面,從洩露資訊漏洞的修復率來看,金融理財網站的修復率最高,達34.1%;其次是IT/網際網路10.6%;接下來依次是汽車交通6.9%,電信運營商2.9%。醫療衛生和教育培訓類網站的洩露資訊漏洞修復率為0。
補天年報
- 2015年,補天平臺共收到2035名“白帽子”提交的有效漏洞37943個,其中有581名白帽子獲得獎金共計227.3萬元;事件型漏洞付款金額為70.6萬元,通用型漏洞付款金額為156.7萬元。
- 2015年,補天平臺獲獎的白帽子中,“合肥濱湖虎子”獲得獎金金額最高,已經連續三年排名第一。該名白帽子共提交漏洞431個,獲得獎金123800元。
² 2015年,共有57名女性白帽子提交了817個漏洞,其中有18名女性白帽子,獲得了共2.5萬元的獎勵。女性在白帽子中仍然是非常稀缺的資源。
² 根據白帽子的註冊資訊統計,在2015年向補天平臺提交漏洞的白帽子中,年齡最小的13歲,年齡最大的78歲。90後比例達67.8%。網站安全熱點與趨勢
- 2015年網站安全熱點問題主要集中在以下幾個方面:資訊洩漏、物聯網、車聯網、P2P金融、O2O本地服務、Java反序列化漏洞、weblogic弱口令漏洞和登陸驗證機制缺陷等幾個方面。
- 2015年網站安全技術主要有以下幾個前沿趨勢:一、資料驅動安全將引領技術潮流;二、威脅情報將成市場關注的焦點;三、機器學習與視覺化技術迅速發展;四、雲平臺將湧現更多“安全即服務”形式。