2017中国网站
安全形势分析 报告
奇安信威胁情报中心
2018年1月23日
主 要 观 点
网站漏洞问题 依旧严峻, 教育和政府行业最值得关注
本次报告 从漏洞自动检测和人工挖掘 角度对国内教育、 政府等十余类典型行业的网站进
行了安全性对比研究 。
从漏洞数量 来看。云监测平台扫描检测的网站中,教育培训 、政府机构 和事业单位 是存
在漏洞最多的三个行业。 在补天平台 中,政府机构及事业单位 、教育培训 和互联网是人工收
录漏洞数最 多的三个行业 。
从漏洞修复情况来看。 通信运营商、金融和教育培训类网站是漏洞修复率最高的三个行
业。96.9%的通信运营商网站漏洞都进行了修复, 90.6%的金融行业的网站漏洞进行了修复,
83.3%的教育培训网站进行了修复。
僵尸网络 继续瞄准物联网
在2016年mirai僵尸网络攻击造成美国东海岸大面积断网事件之后, 2017年以来,又
有三个著名的僵尸网络出现 http81、IoT_reaper 和Satori。其中, http81和IoT_reaper 都是针
对IoT设备的僵尸网络。 仅 http81在国内感染的摄像头设备就超过 5万台, 而 Satori则以 12
小时 26万台的速度 感染某品牌家用路由器 ,成为史上传播速度最快的僵尸网络。
挖矿木马成为网站最大现实威胁
2017挖矿木马 疯狂的敛财暗流 。挖矿木马是 2017年非常流行的一种针对 网络服务器进
行攻击的木马程序 ,此类木马程序通过自动化的批量攻击 感染存在漏洞的网络服务器,并控
制服务器的系统资源,用于计算和挖掘 特定的虚拟货币 。由于挖矿木马长期占用 CPU率达
100%,因此,服务器 感染挖矿木马后 ,最明显的现象 是服务器响应 非常缓慢,出现各种运
行异常。 如果挖矿木马攻击的 是整个云服务平台,则平台 上所有网站 和服务系统都会 受到严
重影响。
另外,2018年1月8日,我们第一次见到 Satori.Coin.Robber 僵尸网络 利用“肉鸡”扫
描正在挖矿的设备,并通过篡改其挖矿设备的算 力和代币,致使其挖掘的虚拟货币流向自己
的口袋。
反人工检测技术 大范围流行
2017年网络黑产大范围使用反人工检测技术, 对网站进行黑词黑链篡改,攻击者在向
网页中植入黑词黑链的 同时,还会在页面中加入一段识别程序, 该程序可以识别出访问请求
是来在搜索引擎爬虫还是来自个人用户,如果访问请求来自搜索引擎 爬虫,则进入带有 黑词
黑链等非法信息的页面 ;如果访问来自个人用户,则显示未经窜改的原始页面, 对于未采用
防篡改保护技术 及缺乏相关经验的技术人员,这种攻击很难被发现 ,从而使带有非法信息的
页面可以在网站中潜伏更长的 时间。
WebLogic反序列化漏洞攻击 可能在2018年大爆发
2017年12月末,国外安全研究者 K.Ora nge在Twitter上爆出有黑产团体利用 Weblogic
反序列化漏洞( CVE-2017 -3248)对全球服务器发起大规模攻击,大量企业服务器已失陷且
被安装上了 watch -smartd挖矿程序 ;但此类攻击 在国内还很少见到。不过 ,2018年1月11
日,奇安信安服团队 在应急响应 过程中,发现某门户网站遭到 了Weblogic最新反序列漏洞
攻击。
由于国内外对此漏洞的重视程度明显不足,有可能导致基于该漏洞的网络 攻击在2018
年大规模 爆发。
弱密码问题依然 是网站安全最大隐患 依然普遍存在
奇安信安服团队 参与处理的网站安全 应急响应事件中, 60%以上都与弱密码有 关。包括
2017年大规模流行的挖矿木马,其成功攻击的主要原因也是由于网站管理员使用弱密码。
本报告也总结了大量相关攻击实例,可供读者参考。
摘 要
网站漏洞 检测分析
2017年1-10月,奇安信网站安全检测平台 共扫描检测网站 104.7万个,其中 ,扫出存
在漏洞的网站 69.1万个(全年去重),共 扫描出 1674 .1万次漏洞。扫出存在高危漏洞
的网站 34.5万个,占扫描网站总数的 32.9%,共扫描 出247.0万次高危漏洞 。
从域名类型统计来看,全球通用域名中 .com域名最多,占比为 64.2%;其次是 .cn
(23.0%)、 .net(5.9%);作为本土化域名, .gov占比为 3.6%,.edu占比为 1.6%。
从网站检测出漏洞的危险等级来看, 2017年高危漏洞数量占比 为11.5%, 中危漏洞占比
为5.0%,低危漏洞占比为 83.5%。
奇安信网站安全检测平台 全年共扫描发现网站高危漏洞 247.0万次, 较 2016年480.8万
次降低了48.7%,平均每天扫出高危漏洞约 8097次。
根据奇安信网站安全检测平台 扫描出高危 漏洞的情况, 跨站脚本攻击漏洞的 扫出次数和
漏洞网站数 都是最多的,稳居排行榜榜首。 其次是 SQL注入漏洞 、SQL注入漏洞(盲
注)、 PHP错误信息泄露等 漏洞类型。下表给出 了2017年1-10月份高危漏洞 TOP10。
应用程序错误信息( 287.7万次)、发现敏感名称的目录漏洞( 184.1万次)和异常页面
导致服务器路径泄露 (122.7万次)这三类安全漏洞是占比最高的网站安全漏洞,三者
之和超过其他所有漏洞检出次数的总和 。
2017年全年,奇安信云监测平台 共对7.94万个网站进行扫描检测 ,扫出存在漏洞的网
站6.35万个,占比为80.0%,共扫描检测出 2428 .8万次网站漏洞。其中 ,扫描出高危
漏洞网站 2.24万个,共扫描出 121.3万次高危漏洞。
从2017年云监测扫描检测的网站中 ,人工挑选出 十个行业进行分析。教育培训 类网站
是检测出网站漏洞最多的 行业,总计为 555.3万次网站漏洞,其次是政府部门的网站,
共检测出 455.9万次网站漏洞 ,事业单位的网站,共检测出 92.0万次网站漏洞 。
进一步对不同行业网站 扫出的高危 漏洞进行分析,我们发现, 政府部门网站 扫描出高危
漏洞次数最多, 为31.76万次,其次为教育培训类 网站,共扫描检测出高危漏洞 16.89
万次。
网站漏洞攻击分析
2017年1-10月,奇安信网站卫士 共为 187.5万个网站拦截各类网站漏洞攻击 26.4亿次,
较2016年17.1亿次,增长 54.4%,平均每天拦截漏洞攻击 868.9万次。
截止到 2017年10月,全年遭到漏洞攻击的网站共计 79.8万个(全年去重),占 奇安
信网站卫士 覆盖总量 (187.5万)的42.5%。平均每月约有 8.0万个网站遭遇各类漏洞攻
击,同比下降 44.2%。
奇安信网站卫士 拦截漏洞攻击次数最多的 10个漏洞类型 ,这十个类型共 遭到攻击 22.0
亿次,占到漏洞攻击拦截总量的 83.4%。
59.7%的网站漏洞攻 击类型都为 “SQL注入”,稳坐第一 。其次为“ Webshell”和“通
用漏洞”, 占比分别为 8.2%和3.6%。
从遭到漏洞攻击网站 服务器 IP的地域分布来看, 83.4%受害者 IP来自境内地区 IP,境
外的受害者仅为 16.6%。 从境内受害者的 IP地域分布来看, 23.1%来自北京, 居于首位;
其次分别为浙江( 15.8%)、广东( 11.7%)等。
从发起漏洞攻击 IP的地域分布来看, 45.3%的攻击者 IP来自境内地区,来自境外的攻
击占比为 54.7%。从境内攻击者的 IP地域分布来看, 21.5%来自北京,居于首位;其次
分别为江苏( 16.5%)、河南( 12.3%)等。
漏洞攻击在一周之内的分布统计。星期四是一周中漏洞攻击最为集中的一天,占总攻击
量的 15.3%,周日仅居其次, 为15.2%,而周五的攻击量则相对最少,仅占总攻击量的
14.5%。就平均性而言,周一周二周六较安全,而周四、 周日最危险。
人工挖掘漏洞分析
2017年全年,补天平台 SRC共收录各类网站安全漏洞报告 22706个,共涉及 14416个
网站。其中, 3月份收录的网站漏洞数量最多,为 3338个。
在补天平台 被报告漏洞 涉及的政企机构 中,平均约有29.6 %的网站已注册加入补天平台。
从补天平台收录网站 漏洞的性质来看,通用型漏洞比例很低,仅为 4.1%,95.9 %的网站
漏洞都为事件型漏洞。
从补天平台收录 网站漏洞的危害等级来看, 高危漏洞占比为 24.2%,中危漏洞占比为
45.8%,低危漏洞占比为 30.0%。
从补天平台收录网站漏洞的具体类型来看, SQL注入漏洞最多,占比为 32.1 %,其次是
命令执行和信息泄露,占比分别为 27.4 %和10.5 %。占比较高的还有弱口令( 10.2 %)、
代码执行( 4.3%)。
在补天平台收录网站漏洞 中,74.4%的网站漏洞已经进行了修复, 25.6%的网站漏洞未进
行修复。
从省级地域分布来看, 补天平台收录 网站漏洞最多的 十个省份占到了总量的 74.5 %。其
中,IP地址在北京的网站漏洞最多, 占比为 28.8%, 其次广东省为8.9%, 浙江省为 6.4%。
从城市地域分布来看, 补天平台收录网站漏洞最多的十个城市占总量的 66.0%。其中,
IP地址在北
奇安信 2017中国网站安全形势分析报告
文档预览
中文文档
78 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共78页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-11-26 08:08:31上传分享