声明
本文是学习2017中国网站安全形势分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
网站漏洞检测分析
网站漏洞的整体形势可以从两个角度分析:一是网站安全检测的自动扫描结果统计,二是网站被报告漏洞情况的统计。本章将从自动扫描角度,以奇安信网站安全检测与防护相关产品的统计结果为依据,分析2017年1-10月中国网站的安全漏洞情况。
漏洞数量概况
2017年1-10月,奇安信网站安全检测平台共扫描检测网站104.7万个,其中,扫出存在漏洞的网站69.1万个(全年去重),占比为66.0%,共扫描出1674.1万次漏洞。
从高危漏洞的检测情况来看,扫出存在高危漏洞的网站34.5万个(相比2016年的14.0万个网站漏洞,增长了约2.5倍),占扫描网站总数的32.9%,共扫描出247.0万次高危漏洞。
2014年至2017年,虽然存在漏洞的网站数量呈现下降趋势,但是含有高危漏洞的网站数却在不断上升。高危漏洞更容易被病毒、木马、黑客等侵入,导致软件崩溃或者盗取重要信息、密码等,其危害性更大,影响更深远。下图给出了2014年至2017年网站存在漏洞的情况对比。
扫描网站介绍
从域名类型统计来看,全球通用域名中.com域名最多,占比为64.2%;其次是.cn(23.0%)、.net(5.9%);作为本土化域名,.gov占比为3.6%,.edu占比为1.6%。具体分布情况如下图所示。
漏洞危险等级情况
从网站检测出漏洞的危险等级来看,2017年高危漏洞数量占比为11.5%,中危漏洞占比为5.0%,低危漏洞占比为83.5%。具体如下图所示。
下图给出了奇安信网站安全检测平台每月扫描出存在高危漏洞的网站个数(当月去重)。其中,在全年各月中,9月扫出的有高危漏洞的网站数量最多,为5.6万个。与2016年3月后稳定下降相比,2017年每月的变化还是很明显的。
奇安信网站安全检测平台全年共扫描发现网站高危漏洞247.0万次,较2016年480.8万次降低了48.7%,平均每天扫出高危漏洞约8097次。下图给出了2017年每月扫描出网站高危漏洞的次数。整体基本保持平稳,其中5月份是扫出高危漏洞最多的月份,数量达到47.9万次。
漏洞类型分析
根据奇安信网站安全检测平台扫描出高危漏洞的情况,跨站脚本攻击漏洞的扫出次数和漏洞网站数都是最多的,稳居排行榜榜首。其次是SQL注入漏洞、SQL注入漏洞(盲注)、PHP错误信息泄露等漏洞类型。下表给出了2017年1-10月份高危漏洞TOP10。
| 漏洞名称 | 扫出次数(万) | 漏洞网站数(万) |
|---|---|---|
| 跨站脚本攻击漏洞 | 91.7 | 7.6 |
| SQL注入漏洞 | 18.8 | 1.7 |
| SQL注入漏洞(盲注) | 18.0 | 2.3 |
| PHP错误信息泄露 | 9.2 | 0.7 |
| 数据库运行时错误 | 5.3 | 0.5 |
| 跨站脚本攻击漏洞(路径) | 3.7 | 1.1 |
| 使用存在漏洞的JQuery版本 | 3.7 | 1.8 |
| MS15-034 HTTP.sys远程代码执行 | 1.8 | 0.9 |
| 发现SVN版本控制信息文件 | 1.5 | 0.2 |
| 跨站脚本攻击漏洞(文件) | 1.3 | 0.2 |
表格 1 1-10月份高危漏洞TOP10
根据各类网站安全漏洞被扫出次数的统计情况。应用程序错误信息(287.7万次)、发现敏感名称的目录漏洞(184.1万次)和异常页面导致服务器路径泄露(122.7万次)这三类安全漏洞是占比最高的网站安全漏洞,三者之和超过其他所有漏洞检出次数的总和。
值得一提的是,“应用程序错误信息”漏洞等前四名都是低危漏洞,改变了前两年高危漏洞稳居排名第一的局面。下表给出了被扫出次数最多的十大类典型网站安全漏洞。
| 漏洞名称 | 漏洞级别 | 扫出次数(万) | 漏洞网站数(万) |
|---|---|---|---|
| 应用程序错误 | 低危 | 287.7 | 8.9 |
| 发现敏感名称的目录漏洞 | 低危 | 184.1 | 16.1 |
| 异常页面导致服务器路径泄漏 | 低危 | 122.7 | 8.0 |
| X-Frame-Options头未设置 | 低危 | 105.7 | 36.8 |
| 跨站脚本攻击漏洞 | 高危 | 91.7 | 7.6 |
| 发现robots.txt文件 | 低危 | 68.7 | 28.7 |
| WEB服务器启用了OPTIONS方法 | 低危 | 64.9 | 25.7 |
| IIS版本号可以被识别 | 低危 | 43.9 | 18.4 |
| Cookie没有HttpOnly标志 | 低危 | 30.3 | 10.1 |
| IIS短文件名泄露漏洞 | 低危 | 24.0 | 9.6 |
表格 2 2017年扫描出数量最多的10类网站漏洞
不同行业网站漏洞扫描情况
奇安信网站云监测主要通过云端发现企业网站的安全问题,是一款基于云的安全服务产品,依靠奇安信强大的云端资源,为政府机构、大型国企等用户提供服务。
2017年全年,奇安信云监测平台共对7.94万个网站进行扫描检测,扫出存在漏洞的网站6.35万个,占比为80.0%,共扫描检测出2428.8万次网站漏洞,平均每个网站扫描出约382个漏洞。其中,扫描出高危漏洞网站2.24万个,共扫描出121.3万次高危漏洞,平均每个网站扫描出约54个高危漏洞。
从2017年云监测扫描检测的网站中,人工挑选出十个行业进行分析。教育培训类网站是检测出网站漏洞最多的行业,总计为555.3万次网站漏洞,其次是政府机构的网站,共检测出455.9万次网站漏洞,事业单位的网站,共检测出92.0万次网站漏洞。具体分布如下表所示。
| 行业 | 扫描检测 网站总数 | 扫描出漏洞的 网站个数 | 网站扫描出 漏洞次数 | 平均每个网站检测出的漏洞个数 |
|---|---|---|---|---|
| 教育培训 | 13721 | 12512 | 5552554 | 444 |
| 政府机构 | 17209 | 15004 | 4559052 | 304 |
| 事业单位 | 2057 | 1920 | 920320 | 479 |
| 公检法 | 1483 | 1231 | 322029 | 262 |
| 金融 | 1643 | 1402 | 312212 | 223 |
| 交通运输 | 1347 | 1273 | 306436 | 241 |
| 媒体 | 1172 | 1143 | 265246 | 232 |
| 医疗卫生 | 718 | 640 | 205496 | 321 |
| 央企 | 640 | 584 | 121230 | 208 |
| 协会团体 | 145 | 138 | 60247 | 437 |
表格 3 不同行业网站漏洞扫描情况
进一步对不同行业网站扫出的高危漏洞进行分析,我们发现,政府机构网站扫描出高危漏洞次数最多,为31.76万次,其次为教育培训类网站,共扫描检测出高危漏洞16.89万次。
特别值得注意的是协会团体虽然只有66个网站扫描检测出高危漏洞,但是竟然扫描出了5028次高危漏洞,平均每个网站约扫描出76次高危漏洞。具体分布如下表所示。
| 行业 | 扫描检测网站总数 | 扫描出高危漏洞 的网站个数 | 网站扫描出 高危漏洞次数 | 平均每个网站检测出的高危漏洞个数 |
|---|---|---|---|---|
| 教育培训 | 13721 | 4040 | 168818 | 42 |
| 政府机构 | 17209 | 5434 | 317580 | 58 |
| 事业单位 | 2057 | 915 | 35823 | 39 |
| 公检法 | 1483 | 361 | 7365 | 20 |
| 金融 | 1643 | 394 | 9307 | 24 |
| 交通运输 | 1347 | 507 | 7898 | 16 |
| 媒体 | 1172 | 294 | 8646 | 29 |
| 医疗卫生 | 718 | 263 | 7796 | 30 |
| 央企 | 640 | 199 | 3447 | 17 |
| 协会团体 | 145 | 66 | 5028 | 76 |
表格 4 不同行业网站扫描出高危漏洞的分布情况
延伸阅读
更多内容 可以 2017中国网站安全形势分析报告. 进一步学习