360：2015年中國網站安全報告

網站漏洞

• 2015年全年，360網站安全檢測平臺共掃描各類網站231.2萬個；其中，存在安全漏洞的網站為101.5萬個，佔掃描網站總數的43.9%；存在高危安全漏洞的網站共有30.8萬個，佔掃描網站總數的13.0%。
• 360網站安全檢測平臺全年共掃描發現網站高危漏洞265.1萬次，較2014年的462.1萬次下降了約一半；掃描發現網站高危漏洞的比例為21.7%，中危佔10.2%，低危佔68.1%。與2014年相比，今年高、中危漏洞掃出比例大幅下降。
• 2015年（截至11月18日）補天共收錄的各類網站漏洞總數為37943個，平均每月3161個。其中，高危漏洞佔比為71.2%；從漏洞性質上看，事件型漏洞佔86.3%，通用型漏洞佔比13.7%。
• 網站修復安全漏洞比例極低，僅為4.7%；在已修復的比例中，24小時內修復的比例為10.3%，2-3天內修復的比例為14.1%，4-7天內修復的比例為23.8%，其餘修復週期大於一週（7天）的佔一半以上。
• 網站篡改與後門
  • 2015年全年，360網站安全檢測平臺共掃描各類網站231.2萬個，其中，被篡改的網站8.4萬個，約佔掃描網站總數的3.6%，網站遭篡改情況明顯好轉。
  • 2015年全年，360網站安全檢測共對21854臺網站伺服器進行了網站後門檢測，覆蓋網站322.3萬個，掃描共發現約4097臺伺服器存在後門，佔所有掃描網站伺服器的18.7%。
  • 2015已掃出各類網站後門檔案樣本數量多達858.1萬個，與2014年“一句話木馬”佔到了網站後門69.2%的情況不同，今年惡意SEO後門的佔比最高，為45.0%；不過感染網站伺服器最多的木馬依然是“一句話木馬”。

  漏洞攻擊

  • 2015年全年，360網站衛士共攔截各類網站漏洞攻擊16.5億次，平均每月攔截漏洞攻擊近1.4億次。
  • 2015年平均每月有17.1萬個網站遭遇各類漏洞攻擊，其中，1月是網站遭遇漏洞攻擊最為頻繁的一個月，平均每天約有8290個網站遭到漏洞攻擊。
  • 從攻擊型別看，2015年，SQL隱碼攻擊最多，攔截次數超過8億次，其次為Nginx漏洞攻擊、命令注入攻擊（Common Vulnerability）。
  • 從發起漏洞攻擊IP的地域分佈來看，90.2%攻擊者IP來自境內地區，來自境外的攻擊僅為9.8%，境內佔比較2014年增長1.2個百分點；其中，境內攻擊者IP歸屬地排名前三依次是：浙江31.5%、江蘇28.3%、北京19.0%。境外攻擊者IP歸屬地排名前三依次是：法國43.5%、美國29.8%、荷蘭3.0%。
  • 從遭到漏洞攻擊IP的地域分佈來看，95.7%受害者IP為境內地區IP，境外的受害者僅為4.3%。其中，境內遭到漏洞攻擊最多的地區是北京17.7%、江蘇13.2%和山東11.0%。

  網站安全性行業分析

  • 2015年補天平臺已收錄的網站漏洞中，備案網站的漏洞為28040個，佔比為73.9%，未備案或備案已過期的網站漏洞9903個，佔比為26.1%。漏洞共涉及22084個網站。
  • 從漏洞性質看，沒有備案的網站存在的漏洞中，通用型漏洞比例達到52.1%，而備案網站中通用型漏洞比例很低，僅為0.2%，說明備案網站的安全性明顯高於未備案網站。
  • 從五種不同備案型別看，企業網站報告的漏洞最多，達14981個，高危漏洞10092個，漏洞涉及11453家企業網站；其次是事業單位網站，被報漏洞6504個，高危漏洞4339個，漏洞涉及5179家事業單位網站；政府網站排第三，被報漏洞3941個，高危漏洞2805個，漏洞涉及3315家政府網站。
  • 從修復率上看，企業網站的修復率是最高的，但也只有6.5%；政府網站的漏洞修復率在所有備案型別網站中排名墊底，僅為1.8%；這與普通網民對政府網站的信賴度相對較高的情況非常不相稱。
  • 在七類行業網站中，共有漏洞5995個，涉及網站4280個。IT/網際網路行業網站被報告的漏洞最多，達到2330個，高危漏洞1463個，漏洞涉及網站1535個；其次為教育培訓，被報漏洞1169個，高危漏洞741個，漏洞涉及網站914個；汽車交通排第三，被報漏洞799個，高危漏洞525個，漏洞涉及網站625個。
  • 從修復率上看，金融行業網站的修復率最高，但也僅為17.3%。其他修復率超過10%的行業有兩個，分別為IT/網際網路、汽車交通。而教育、能源、醫療衛生三個細分行業的修復情況不容樂觀，修復率僅約為1.8%-3.4%之間。

  個人資訊洩漏

  • 補天平臺統計顯示，2015年共有1410個漏洞可能造成網站上的個人資訊洩露，這些漏洞共涉及網站1282個，可能或已造成洩露的個人資訊量高達55.3億條。
  • 補天平臺中的洩露資訊漏洞中，共有4個漏洞可以造成1億條以上的個人資訊洩露，可能洩露個人資訊量在6000萬到1億之間的漏洞共有11個。
  • 存在洩露資訊漏洞的1068個備案網站中，企業網站佔比最高，達63.0%，政府、事業單位、個人、社會團體網站的佔比分別為20.1%、11.8%、4.1%和1.1%。
  • 行業對比方面，IT/網際網路網站可能洩漏的個人資訊最多，為5.23億條；其次是醫療衛生網站2.40億條；電信運營商1.97億條；金融理財網站 1.10億條；汽車交通網站5418萬條；教育培訓2462萬條。
  • 行業對比方面，從平均每個漏洞洩露的資訊量來看，醫療衛生行業排在首位，平均每個洩露資訊漏洞可能導致961萬條個人資訊洩露，其次是電信運營商563萬條/洞， IT/網際網路291萬條/洞。
  • 行業對比方面，從洩露資訊漏洞的修復率來看，金融理財網站的修復率最高，達34.1%；其次是IT/網際網路10.6%；接下來依次是汽車交通6.9%，電信運營商2.9%。醫療衛生和教育培訓類網站的洩露資訊漏洞修復率為0。

  補天年報

  • 2015年，補天平臺共收到2035名“白帽子”提交的有效漏洞37943個，其中有581名白帽子獲得獎金共計227.3萬元；事件型漏洞付款金額為70.6萬元，通用型漏洞付款金額為156.7萬元。
  • 2015年，補天平臺獲獎的白帽子中，“合肥濱湖虎子”獲得獎金金額最高，已經連續三年排名第一。該名白帽子共提交漏洞431個，獲得獎金123800元。

  ²  2015年，共有57名女性白帽子提交了817個漏洞，其中有18名女性白帽子，獲得了共2.5萬元的獎勵。女性在白帽子中仍然是非常稀缺的資源。
  ²  根據白帽子的註冊資訊統計，在2015年向補天平臺提交漏洞的白帽子中，年齡最小的13歲，年齡最大的78歲。90後比例達67.8%。

  網站安全熱點與趨勢

  • 2015年網站安全熱點問題主要集中在以下幾個方面：資訊洩漏、物聯網、車聯網、P2P金融、O2O本地服務、Java反序列化漏洞、weblogic弱口令漏洞和登陸驗證機制缺陷等幾個方面。
  • 2015年網站安全技術主要有以下幾個前沿趨勢：一、資料驅動安全將引領技術潮流；二、威脅情報將成市場關注的焦點；三、機器學習與視覺化技術迅速發展；四、雲平臺將湧現更多“安全即服務”形式。