第一章 网站扫描漏洞分析
网站漏洞的整体形势可以从两个分析角度:一是网站安全检测的自动扫描结果统计,二是网站被报告漏洞情况的统计。本章将从自动扫描角度,以360网站安全检测与防护相关产品的统计结果为依据,分析2016年中国网站的安全漏洞情况。
一、 扫描网站介绍
根据工信部相关规定,网站域名需在主管部门备案。一般网站正常备案的类型为:政府机关、军队、事业单位、社会团体、企业、个人、基金会、律师事务所等类型,本节主要对webscan扫描的有备案网站和域名类型角度进行介绍。
2016年全年(截至11月15日),360网站安全检测平台共扫描各类网站197.9万个。其中共有59.4万备案网站,其中企业备案的占52.0%,占比最高,其次是个人(24.0%)、政府机关(12.0%)、事业单位(8.5%)等。
从域名类型统计看,全球通用域名中.com域名最多,占比为65.0%;其次是.net(5.9%)、.org(1.4%);作为本土化域名,.gov.cn占比为5.8%,.edu.cn的比例为1.7%,其他普通的.cn域名(不含gov和edu)为15.8%。具体见下图。
二、 漏洞数量
根据360网站安全检测平台全年扫描情况,扫出存在漏洞的网站91.7万个,占比为46.3%;扫出存在高危漏洞的网站14.0万个(全年去重),占扫描网站总数的7.1%,相比2015年有一定下降。相比较而言,2016年网站检出高危漏洞的情况有所好转。
从检测出漏洞的危险等级看,2016年高危漏洞数量占26.4%,中危占10.4%,低危占63.2%,相比于2015年变化不大。
下图给出了360网站安全检测平台每月扫描出存在高危漏洞的网站个数(当月去重)。与2015年的大起大伏相比,今年变化较小,上半年数量总体高于下半年;其中,在全年各月中,3月扫出的有高危漏洞的网站数量最多,为6.6万个。
360网站安全检测平台全年共扫描发现网站高危漏洞480.8万次,较2015年267.7万次大幅增长80%,平均每月扫出高危漏洞约45.8万次;平均每天扫出高危漏洞约1.5万次。下图给出了2016年每月扫描出网站高危漏洞的次数。其中3月份是扫出高危漏洞最多的月份,数量达到103.4万次。
综合高危漏洞扫出次数和检出有高危漏洞网站数量,虽然存有高危漏洞网站数量下降了,但检出高危漏洞的数量却大幅增长,说明高危漏洞正在向少数网站集中,即绝大多数网站已经基本不存在可自动检测的高危漏洞了,但极少数网站却集中出现大量高危漏洞。
三、 漏洞类型分析
从网站漏洞类型上看,应用程序错误信息、异常页面导致服务器路径泄露、跨站脚本攻击(XSS)漏洞等是2016年最为频繁扫出的漏洞类型。下表给出了被扫出次数最多的十大类典型网站安全漏洞:
下图给出了各类网站安全漏洞被扫出次数的比例分布情况。从图中可以看出,应用程序错误信息(24.4%)、异常页面导致服务器路径泄露(11.8%)和跨站脚本攻击漏洞(16.0%)这三类安全漏洞是占比最高的网站安全漏洞,三者之和超过所有漏洞检出总次数的60%。值得一提的是,“应用程序错误信息”漏洞是低危漏洞,改变了前两年高危漏洞稳居排名第一的局面。
第二章 人工挖掘漏洞分析
本章从人工挖掘角度,对网站漏洞情况进行分析。主要根据补天平台公开征集收录白帽子提交的漏洞信息,结合平台自身对漏洞的研究积累,从而分析2016年存在漏洞,且被白帽子关注的全国数万个网站的安全状况。
一、 漏洞数量
2016年1月1日-11月15日,补天平台公有SRC共收录各类网站安全漏洞32277个,私有SRC(含众测)收录漏洞4911个,总共漏洞数为37188个,与2015年(37943个)基本持平;从涉及web站点看,2016年补天平台收录的漏洞涉及网站(按域名统计)共30329个,同比(26370个)增加了3959个网站。
补天收录漏洞对应的网站可以注册加入补天平台,这通常意味着网站会安排专人对补天平台报告的漏洞进行响应和处理,在一定程度上反应了网站对安全漏洞的重视程度。统计显示,在2016年被报告漏洞的备案网站中,有24.2%的网站已加入补天平台,还有75.8%的网站未加入。
本章主要对公有版本(32277个漏洞)进一步分析。
下图为2016年1月至11月中旬,补天平台每月收录的网站漏洞数量统计。可以看出,去年前半年是白帽子发力的月份,而今年秋季则是白帽子收获最多的季节。
2016年补天平台收录的漏洞中,备案网站的漏洞有23982个,占比为74.3%,未备案或备案已过期的网站漏洞有8295个,占比为25.7%。而从网站角度看,备案网站有22929个,占比为75.6%,未备案或备案已过期的网站占比为24.4%。
二、 漏洞类型分析
在补天平台2016年收录的网站漏洞中,通用型漏洞比例占比为6.1%,相比2015年的(13.7%)有所下降。不过,高危漏洞占比依然超过一半,为50.6%、中危漏洞占35.4%,低危漏洞占14.0%。
从漏洞性质看,在备案的网站中,通用型漏洞比例很低,仅为0.2%,绝大多数漏洞(99.8%)为事件型漏洞。相比而言,未备案网站存在的漏洞中,通用型漏洞比例为19.7%,而事件型漏洞比例为80.3%。
鉴于多数通用型漏洞属于可以检测的已知漏洞,而事件型漏洞则存在一定的偶发性和不可预测性。所以,上述数据表明,备案网站的总体安全性和安全管理能力还是要比未备案网站强得多。但从另一个角度来看,备案网站仍然存在大量的事件型漏洞,这也就意味着:仅仅通过一般的、通用的安全检测手段并不足以及时的发现网站潜在的安全问题。第三方平台对网站漏洞的收集和报告,对于正规的备案网站来说尤为重要。
从补天平台收录漏洞的具体类型来看,SQL注入漏洞最多,占比为44.9%,其次是命令执行和弱口令,分别占14.0%和11.7%。占比较高的还有信息泄露(11.1%)、逻辑漏洞(3.3%),具体漏洞类型分布请见下图:
三、 漏洞修复情况
从修复率上看,根据对2016年补天平台的备案网站漏洞的抽样调查,平均漏洞修复率仅为42.9%。
再从修复漏洞所花费的时长看,根据厂商明确标记已修复的网站漏洞中,1天内修复的比例为7.5%,当天未修复,但一周以内修复的比例为27.4%,超过一周但在一个月内修复的比例为33.3%,超过30天才修复的比例为31.8%。总体而言,即便是在能够修复漏洞的网站中,仍有2/3的网站,漏洞修复周期过长,修复很不及时(大于7天)。
补天平台看到的漏洞修复情况,和抽样调查的结果略有不同。由于部分网站的安全负责人在修复网站漏洞后未及时在补天平台上进行登记,所以,补天平台上站长标记的修复情况会与上述统计有一定的出入。
另一方面,补天平台也没有强制标注的要求。补天平台在收到白帽子报告的网站安全漏洞后,都会在第一时间通知相关网站,但是对涉及厂商,没有明确规定必须在修复漏洞之后及时标注漏洞状态信息。
补天平台还会不定期进行人工复核,以了解漏洞的修复情况,一般采取抽样人工验证的方式,相关的数据情况将在第四章具体介绍。
四、 漏洞修复率低的原因分析
尽管总体上,目前国内网站漏洞修复的比率是低的,不过2016年以来,随着国家政策与产业层面对网络安全、网站业务安全的重视程度不断加大,以金融、教育等领域的企事业单位越来越重视网站系统漏洞的修复工作,比如在补天注册的积极性均比往年有所提高。
以金融为例,目前包括国有四大行、各主要股份制银行基本都在补天平台注册,其他行业的企业目前注册的企业也达到4000多家。值得一提的是,在教育领域,安徽省教育厅甚至明确要求所属教育系统内各机构单位的网站,必须在补天平台注册,显示了该省教育领域对网站安全、信息系统安全的高度重视。
然而,整体而言,各行业,尤其是对安全投入较少的行业,网站漏洞修复的周期仍显较长,有的网站甚至根本找不到相应的负责人。造成这种情况的主要原因有以下几个方面:
1) 法制监管体系缺乏安全问责机制
目前立法不完善,国内网站普遍缺乏有效的安全监管,网站无论是存在重大安全漏洞,还是大量的泄漏用户信息,通常都不会有人被追究刑事责任或行政责任。即便是政府、事业单位的网站也是如此。这也就在客观上导致了网站管理者对网站安全的漠视。
2016年千呼万唤的《网络安全法》正式通过全国人大常委会审议,2017年6月份将正式实施,希望能改变当前惩罚机制缺位的局面。
2) 网站管理者自身安全意识和能力不足
安全意识的严重匮乏也是导致网站漏洞修复率极低的主要原因。不知漏洞的巨大潜在危险,而且不少网站管理者存在侥幸心理,认为网站虽然有漏洞,但只要媒体不曝光,用户不知道就没有关系。殊不知,在网络攻击自动化、规模化、产业化的今天,任何一个有漏洞的网站都很难逃过攻击者的追踪。
此外,不少网站投入少,缺乏专业安全团队,导致安全维护、漏洞修复等能力缺失,也是目前网站漏洞修复率极低的原因。
3) 业界舆论环境对漏洞修复工作关注较浅
目前业界舆论、媒体等对漏洞关注集中在危害上,比如泄露个人隐私、泄露网站所有单位机密信息、甚至国家基础数据安全等等。而对于网站修复、加固等防范措施关注较少,尤其是对网站安全响应机制的配套与完善缺乏深入探讨。
业界对漏洞修复关注较浅,也是因为一方面网站安全涉及基础设施、基础电信运营商、IDC运营商,需要多方在技术与管理层面协同联动;另一方面,业内缺少成熟的配套解决方案,包括白帽子与白帽子平台的管理、网站漏洞修复与人工核验机制的建立……都需要业界各方强化合作,积极探讨,不断创新,尽早满足国内百万网站安全漏洞监测和修复的实际需要。
第三章 网站漏洞攻击分析
黑客对网站发动攻击一般有两种方式,一种方式是利用漏洞入侵网站,另一种方式是对网站发动流量攻击。本章将主要介绍分析360网站卫士针对各种漏洞攻击的拦截情况。
一、 漏洞攻击数量统计
2016年全年(截至11月15日),360网站卫士共拦截各类网站漏洞攻击17.1亿次,较2015年16.5亿次,增长了约3.7%。
2016年平均每天拦截漏洞攻击534.4万次。下图给出了每月漏洞攻击拦截量的具体统计。从图中可以看出,5月、6月和7月是2016年攻击量最大的三个月。
截止到2016年11月15日,全年遭受到漏洞网站共计63.6万个(全年去重),占360网站卫士覆盖总量(163.6万)的38.9%。平均每月有14.3万个(按月去重)网站遭遇各类漏洞攻击,同比下降了16.4%。2016年5月共有25.8万个网站遭遇攻击,创2016年度之最。
二、 漏洞攻击类型分析
下表给出了360网站卫士拦截漏洞攻击次数最多的10个漏洞类型。针对这10个类型漏洞攻击的拦截量占到漏洞攻击拦截总量的60%以上。
下图给出了漏洞攻击拦截量的类型分布情况。
三、 漏洞攻击地域分析
(一) 遭到漏洞攻击地域分析
从遭到漏洞攻击IP的地域分布来看,66.9%受害者IP来自境内地区IP,境外的受害者仅为33.1%。
从境内受害者的IP地域分布来看,34.2%来自北京,居于首位;其次分别为浙江(24.8%)、四川(11.4%)、广东(5.6%)、江苏(4.7%)等。
从境外受害者的IP地域分布来看,72.5%的受害者来自加拿大,排在第一位。其次是美国(25.6%)、韩国(0.7%)、罗马利亚(0.2%)、日本(0.1%)等。
下图给出了2016年遭到漏洞攻击的十大城市,其中,北京遭到攻击的IP最多,高达1.2亿次,居于全国首位;其次是成都(0.4亿次)、上海(1645万次)、南京(1639万次)、郑州(1352万次)、广州(1244万次)、杭州(734万次)、合肥(607万次)、深圳(384万次)和福州(376万次)。
(二) 发起漏洞攻击地域分析
从发起漏洞攻击IP的地域分布来看,76.6%攻击者IP来自境内地区,来自境外的攻击占比为23.4%。境外攻击来源占比相较2015年的9.8%增加了13个百分点。从侧面说明,来自境外的网站攻击呈现日益严重之势。
从境内攻击者的IP地域分布来看,39.7%来自江苏,居于首位;其次分别为北京(30.6%)、河南(12.5%)、浙江(2.1%)、上海(2.0%)、广东(1.8%)等。
从境外攻击者的IP地域分布来看,44.6%来自俄罗斯。其次是美国(33.9%)、加拿大(7.5%)等。
下图给出了2016年发起漏洞攻击最多的十大城市。其中,从南京发起漏洞攻击的IP最多,高达5.0亿次,居于全国首位;其次是北京(3.89亿次)、郑州(1.59亿次)、上海(2566万次)、武汉(1773万次)、杭州(1475万次)、合肥(1421万次)、天津(1273万次)、福州(1133万次)和南昌(1115万次)。
四、 漏洞攻击时域分析
下图给出了漏洞攻击在一周之内的分布统计。其中,每天的比例数字表示这一天的攻击量在一周总攻击量中的平均占比情况。从图中可以看出,星期四是一周中漏洞攻击最为集中的一天,占总攻击量的15.5%,而周六的攻击量则相对最少,仅占总攻击量的13.7%。就平均性而言,周末最安全,周一、周四最危险。
下图给出了一天之内漏洞攻击的分布统计。其中,每个小时的比例数字表示这一小时内的攻击量在当天总攻击量中的平均占比情况。从图中可以看出,下午的数量总体多于上午,漏洞攻击多集中于下午15-17点之间,在16点达到最高峰。而早上5-8点是漏洞攻击比较稀少的时段,凌晨8点最为安全。总体而言,以上午11点为界限,11点之后多于11点之前,下午要多于上午。今年的不法黑客显然属于夜猫子习惯的居多!
第四章 网站安全漏洞行业分析
本章根据补天漏洞响应平台收录且已备案的网站漏洞信息,针对政府机构、事业单位、教育、医疗、金融、电信运营商等多个重点行业网站进行了多角度的安全性分析。首先我们根据每个存在漏洞网站的ICP(Internet Content Provider,互联网内容提供商)备案信息,划分出政府机关、事业单位、社会团体、企业、个人等类型。之后,对于企业和个人备案类型的网站划分为教育、金融、IT/互联网等行业。下图给出了网站备案信息查询示例。
一、 不同备案网站对比分析
工信部的网站备案类型为:军队、政府机关、事业单位、社会团体、企业、个人、基金会、律师事务所等八大类型,2016年补天平台收录的网站备案类型主要集中在政府机关、事业单位、社会团体、企业、个人五个类别,因此对这五个备案类型进行具体的分析。
补天平台收录的不同备案网站的漏洞总量为23982个(共涉及22929个网站),其中高危漏洞为10719个。总体而言,补天平台收录的备案网站漏洞中,企业网站的漏洞数量是最多的,占比为50.3%,事业单位网站为24.7%,政府机关网站为16.0%,个人网站为6.6%,社会团体网站为2.5%。下图给出了补天平台收录的备案网站漏洞中,不同备案类型网站的漏洞数量对比情况。
下图给出了补天平台收录的备案网站漏洞中,不同备案类型网站漏洞危险等级情况。从高危漏洞网站来看,社会团体网站高危漏洞占比最多,为47.5%,企业网站为47.3%,事业单位网站为43.3%,政府机关网站为41.7%,个人网站为36.4%。
由于众测、私有SRC网站的漏洞几乎全部修复,所以我们对公有且已备案的网站进行了抽样调研(回访),经调研我们发现,政府机关网站的漏洞修复率是最高的,占比为77.1%,其次事业单位网站为68.1%,企业网站为45.5%,个人网站为40.1%,社会团体网站为38.3%。从高危漏洞修复率来看,政府机关网站同样是修复最高的,占比为90.0%,事业单位为56.7%,企业网站为48.5%,社会团体网站为48.2%,个人网站为42.7%。
从加入补天情况看,企业网站加入补天的比例最高,为28.4%,而政府机关网站的加入比例最低,仅为7.9%。
政府机关、事业单位、社会团体、企业、个人的备案网站漏洞类型分布,如下表所示。我们可以看出,“SQL注入”型漏洞类型无论是从总体角度还是从各备案网站类型均名列第一。
二、 不同行业网站对比分析
由于企业、个人备案的网站涵盖了众多商业行业领域,而且企业、个人类备案的网站漏洞数量最大,约为13646个,超过了2016年补天收录且已备案网站漏洞总量的50%,因此接下来对上述两种备案类型的网站,按照所属行业加以细分研究。
在所有企业、个人备案的网站中,我们在能够明确的确认其所属行业的网站中选择了 IT/互联网、金融、教育培训、汽车交通、生产制造、电信运营商、医疗卫生、媒体、房地产、游戏等十个重点行业的网站进行了分类分析。统计显示,IT/互联网行业网站被报告的漏洞最多,占比为23.5%,各行业漏洞具体见下图。
下图给出了不同行业网站漏洞危险等级分布对比。从高危漏洞网站来看,其中,电信运营商网站的高危漏洞占比最多,为56.0%,生产制造类网站为54.4%。游戏类网站排名第三,占比为51.0%。
由于众测、私有SRC网站的漏洞几乎全部修复,所以我们对公有网站且已备案的网站进行了抽样调研(回访),经调研我们发现,电信运营商网站的漏洞修复率是最高的,占比为83.5%;其次是金融网站为81.3%,汽车交通网站为58.0%,媒体网站为57.8%,教育培训网站为51.1%,医疗卫生网站为51.1%,IT/互联网网站为41.2%,房地产网站为39.4%,生产制造网站为38.3%,游戏网站为35.6%。
从高危漏洞修复率来看,金融网站修复率是最高的,占比为83.3%,其次电信运营商网站75.6%,汽车交通网站70.2%。游戏网站排名第四,占比为66.7%,实际上,用户量较大的知名游戏的网站漏洞修复率一般会超过70 %,但补天平台曝出漏洞的游戏网站,存在不少技术实力较小的中小型游戏网站,因此拉低了整体修复率。另外,房地产类网站高危漏洞修复率最低,为38.5 %。
从加入补天情况看,电信运营商网站加入补天的比例最高,为68.7%,而房地产网站的加入比例最低,仅为11.8%。
IT/互联网、金融、教育培训、汽车交通、生产制造、电信运营商、医疗卫生、媒体、房地产、游戏的备案网站漏洞类型分布,如下表所示。
更多详情,请下载报告查看。