年度网站安全报告：26%电商网站存高危漏洞

分行业看，电子商务类网站存在高危漏洞的比例最高，达到26%；其次为生活信息类（24%）、医疗卫生类（22%）和企业公司类（21%）。银行类网站相对安全性较高，存在高危漏洞比例最低。

相较于2013年，电子商务类网站虽然有高危漏洞的网站比例下降了3个百分点，但排名却从第四名跃升为第一名，安全性在各行业网站中最为堪忧。

由于电商网站自身的特殊性，电商网站服务器中保有大量用户个人信息和财务信息，因此电商网站安全漏洞危害极大，一旦被犯罪分子利用，将给网站本身和网站用户乃至互联网安全带来极大的危害。不法分子利用电商网站的漏洞通常会篡改网站内容，利用支付链接URL跳转对消费者进行钓鱼等；盗取用户账户，进行恶意消费；盗取电商网站数据库，用于诈骗等违法行为。

从各个行业网站安全漏洞修复周期来看，音乐影视类、政务网站漏洞平均修复周期最长，分别为97天和86天，对网站安全意识有待提高；而游戏网站、医疗卫生类网站修复漏洞平均周期较短，分别为65天和66天，此几类网站修复漏洞所需时间要比音乐影视类网站少一个月左右。

全球十大网站安全事件四起发生在中国

《报告》总结了2014年全球范围内的十起网站安全事件，包括“OpenSSL心脏出血漏洞”、“eBay数据泄漏”、“索尼被黑客攻击”等，在去年的网站安全事件中，有四起发生在中国。

据了解，“121中国互联网DNS大劫难”、“携程漏洞事件”、“中国快递1400万信息泄露”、“12306用户数据泄露”这四起网站安全事件在全社会造成了巨大影响。

《报告》认为，根据去年发生的多起网站安全事件来看，网站攻击与漏洞利用正在向批量化，规模化方向发展，主要表现在以下五个方面：撞库攻击越演越烈、全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击。

针对网站安全事件频发的现象，《报告》专门针对发起攻击的地域做了研究。研究发现，91.4%的攻击者IP来自境内，来自境外的攻击仅为8.6%。其中，境内攻击主要来自北京（32.9%）、江苏（13.9%）、浙江（11.4%）、山东（10.0%）、广东（7.40%）。

图3：发起网站漏洞攻击的地域分布

值得一提的是，2014年，360补天平台共收录2490名“白帽子”提交的有效0day漏洞24724个，平均每个月收录有效的0day漏洞2060个，平均每天收录有效0day漏洞70个。

补天平台是360互联网安全中心推出的 国内首个现金奖励漏洞平台，旨在建立企业与白帽子之间的桥梁，帮助企业建立SRC(安全应急响应中心)。

据悉，曾发生用户数据泄漏的12306等网站均已加入360补天平台以获得查补网站漏洞的技术协助。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友