360：20xx年中国网站安全漏洞形势分析报告

360：20xx年中国网站安全漏洞形势分析报告内容摘要：

况。 一、 漏洞数量 2020 年 1 月 1 日 11 月 15 日，补 天 平台公有 SRC 共 收录各类 网 站安全 漏 洞 32277 个， 私有 SRC（含众 测 ） 收录 漏 洞 4911 个 ， 总共 漏 洞 数 为 37188 个 ， 与 2020 年 （ 37943 个 ） 基 本持平 ； 从 涉 及 web 站点看 ， 2020 年 补天平 台 收录 的 漏洞涉及 网 站 （按域 名 统计 ） 共 30329 个，同比（ 26370 个 ）增加了 3959 个 网 站。 补 天收 录 漏洞 对 应的 网 站可 以 注册 加 入补 天 平台 ， 这 通 常意 味 着网 站 会安 排 专人 对 补 天平台报 告 的漏洞 进 行响应 和 处理 ， 在 一 定程度 上反 应了网站 对 安全漏 洞 的重视 程 度。 统计 显示，在 2020 年 被报 告 漏洞的 备 案网站 中 ，有 %的网 站 已加入 补 天平台 ， 还有 % 的网站未 加 入。 本章主要 对 公有版 本 （ 32277 个漏洞 ） 进一步 分 析。 下图为 2020 年 1 月至 11 月中 旬 ，补天 平 台每月 收录 的网站漏 洞 数量统 计。 可以 看 出， 去年前半 年 是白帽 子 发力的 月 份，而 今 年秋季 则 是 白 帽子收获 最 多的季 节。 6 2020 年补 天 平台收 录 的 漏洞 中 ，备案 网 站的漏 洞 有 23982 个， 占 比为 %， 未 备案 或备案已 过 期的网 站 漏 洞 有 8295 个， 占 比为 %。 而从网站 角 度看， 备 案网站有 22929 个，占比为 %，未备 案 或备案 已 过期的 网 站占 比 为 %。 二、 漏洞类 型 分析 在补天平台 2020 年收录 的 网站漏 洞 中 ， 通 用 型漏 洞 比例占比为 %，相比 2020 年的 （ %）有所 下 降。 不 过 ， 高危 漏 洞占比 依 然超 过 一半，为 %、中危 漏 洞占 %， 低危漏洞占 %。 7 从漏洞性 质 看 ， 在备 案 的网站 中 ， 通用 型 漏洞比 例 很 低 ， 仅为 %， 绝大 多 数漏 洞 （ %） 为事件型 漏 洞。 相 比 而言 ， 未 备 案 网 站存在 的 漏洞 中 ， 通用型 漏 洞比 例 为 %， 而 事 件型 漏洞比例为 %。 鉴于多数 通 用型漏 洞 属于可 以 检测的 已 知漏洞 ， 而 事 件型漏洞 则 存在一 定 的偶发 性 和不 可预测性。 所以 ， 上 述数据 表 明 ， 备案网 站 的总体 安 全性和安 全 管理能 力 还是要 比 未备案网 站强得多。 但 从另一 个 角度来 看 ， 备案 网 站仍然 存在 大量的事 件 型漏洞 ， 这 也就意 味 着 ： 仅 仅通过一 般 的 、 通用 的 安全检 测 手段并 不 足以及 时的 发现网站 潜 在的安 全 问题。 第 三 方平台 对网站漏 洞 的收集 和 报告 ， 对 于正规 的 备案网 站 来 说 尤为重要。 从补天平 台 收录漏 洞 的具体 类 型来 看 ， SQL 注入漏 洞 最多 ， 占 比 为 %， 其 次是命令 执行和弱 口 令 ， 分别占 %和 %。 占比 较 高的 还 有信息泄 露 （ %） 、 逻辑漏 洞 （ %）， 具体漏洞 类 型分布 请 见下图： 8 三、 漏洞修 复 情况 从修复率 上 看， 根 据对 2020 年补 天 平台的 备 案网 站 漏洞的抽 样 调 查 ， 平均漏 洞 修复率 仅为 %。 再从修复 漏 洞所花 费 的时长看 ， 根 据 厂 商明确 标 记 已 修复的网 站 漏洞中 ， 1 天内修 复 的 比例为 %，当天 未 修复， 但 一周以 内 修复的 比例 为 %， 超 过一周 但 在一个 月 内 修复 的比例为 %，超过 30 天才 修 复的比例为 %。 总体而 言 ，即便 是 在能够 修 复漏洞的 网站中， 仍 有 2/3 的 网 站，漏 洞 修复周 期 过长， 修复 很不及时 （ 大于 7 天 ）。 补 天平 台 看到 的 漏洞 修 复情 况 ，和 抽 样调 查 的结 果 略 有 不同。 由于 部 分网 站 的安 全 负 责人在修 复 网站漏 洞 后未及 时 在补天 平 台上进 行 登 记 ， 所以 ， 补天 平 台上站 长 标记的 修 复情 况会与上 述 统计有 一 定的出 入。 另 一方 面 ，补 天 平台 也 没有 强 制标 注 的要 求。 补 天 平 台 在收 到 白帽 子 报告 的 网站 安 全 漏洞后 ， 都会 在 第一时 间 通知相 关 网站 ， 但是 对 涉 及 厂商 ， 没有明 确 规定 必 须 在修复 漏 洞之 后及时标 注 漏洞状 态 信息。 补 天平 台 还会 不 定期 进 行人 工 复核 ， 以了 解 漏洞 的 修 复 情况 ， 一般 采 取抽 样 人工 验 证 的方式， 相 关的数 据 情况将 在 第四章 具 体介 绍。 9 四、 漏洞修 复 率低 的 原因 分 析 尽管总体 上 ，目前 国 内网站 漏 洞修复 的 比率是 低 的 ， 不过 2020 年 以 来，随 着 国家政策 与产业层 面 对网络 安 全 、 网站业 务 安全的 重 视程度 不 断加大 ， 以金融 、 教 育等 领 域 的企事业 单位越来 越 重视网 站 系统漏 洞 的修复 工 作，比 如 在 补 天注 册 的 积 极性均 比 往年有 所 提高。 以金融为例 ， 目 前包括 国 有四大行 、 各 主要股 份 制 银 行基本都 在 补天平 台 注册 ， 其他行 业的企业 目 前注册 的 企业也 达 到 4000 多 家。 值得 一 提的是， 在 教育领 域 ，安徽 省 教育厅甚 至明确要 求 所属教 育 系统内 各 机构单 位 的网站 ， 必须 在补天平 台 注册 ， 显 示 了该省 教 育领域 对网站安 全 、信息 系 统安全 的 高度重 视。 然而 ， 整体 而 言 ， 各 行 业 ， 尤 其 是对安 全 投入较 少的 行业 ， 网站 漏 洞修复 的 周期仍 显 较 长，有的 网 站甚至 根 本找不 到 相应的 负 责人。 造 成 这 种情况的 主 要原因 有 以下几 个 方面： 1） 法制监管 体 系缺乏 安 全问责 机 制 目前立法 不 完善 ， 国内网 站 普遍缺 乏 有效的 安 全监 管 ， 网 站 无 论是存 在 重大安 全 漏洞， 还是大量 的 泄漏用 户 信息 ， 通常 都 不会有 人 被追究 刑 事责任或 行 政责任。 即 便 是政府 、 事业 单位的网 站 也是如 此。 这也 就 在客观 上 导致了 网 站 管 理者对网 站 安全的 漠 视。 2020 年千 呼 万唤 的 《网络 安 全法 》 正式通 过 全国 人大 常委会审 议 ， 2017 年 6 月 份 将正 式实施， 希 望能改 变 当前惩 罚 机制缺 位 的局面。 2） 网站管理 者 自身安 全 意识和 能 力不足 安 全意 识 的严 重 匮乏 也 是导 致 网站 漏 洞修 复率极 低 的 主 要原 因。 不 知 漏洞 的 巨大 潜 在 危险 ， 而且 不 少网站 管 理者存 在 侥幸 心 理 ， 认为 网站 虽然有漏洞 ， 但只要 媒 体不曝 光 ， 用户 不知道就 没 有关系。 殊 不 知 ， 在 网络攻 击 自动化 、 规 模化 、 产业 化 的今天 ， 任何一 个 有漏洞 的网站都 很 难逃过 攻 击者的 追 踪。 此 外， 不 少网 站 投入 少 ，缺 乏 专业 安 全团 队 ，导 致 安 全 维护 、 漏洞 修 复等 能 力缺 失 ， 也是目前 网 站漏洞 修 复率极 低 的原 因。 3） 业界舆论 环 境对漏 洞 修复工 作 关注较浅 目前业界 舆 论 、 媒体等 对 漏洞关 注 集中在 危害上 ， 比 如泄露个 人 隐私 、 泄露 网 站所有单 位机密信息 、 甚至国 家 基础数 据 安全 等 等。 而对 于网 站修复 、 加 固 等防范 措 施关注 较 少 ， 尤 其是对网 站 安全响 应 机制 的 配 套与完 善 缺乏深 入 探 讨。 业界对漏洞修 复 关注较浅 ， 也是因为 一 方面网站安 全 涉及基础设施 、 基础电信 运 营商、 IDC 运营商 ， 需要多 方 在技术 与 管理层 面 协同联 动 ； 另一方面 ， 业 内缺少 成 熟的配 套 解决方 案 ， 包括白 帽 子与白 帽 子平台 的 管理 、 网 站 漏洞修 复 与人工核 验 机制的 建 立 „„都 需要业界 各方强化 合 作 ， 积极探讨 ， 不 断创新 ， 尽 早 满足国 内 百万网站 安 全漏洞 监 测和修 复 的实际需 要。 10 第三章 网站漏 洞 攻击 分析 黑 客对 网 站发 动 攻击 一 般有 两 种 方 式， 一 种方 式 是利 用 漏洞 入 侵网 站 ，另 一 种方 式 是 对网站发 动 流量攻 击。 本章 将 主要介 绍 分析 360 网 站 卫士针对 各 种漏洞 攻 击 的拦 截 情况。 一、 漏洞攻 击 数量 统 计 2020 年全 年 （截至 11 月 15 日 ） ， 360 网 站卫士 共 拦 截 各类网站 漏 洞攻击 亿 次 ， 较 2020 年 亿次， 增 长了约 %。 2020 年平 均 每天拦 截 漏洞攻击 万 次。 下 图 给 出 了每月漏 洞 攻击拦 截 量的具 体 统计。 从图中可 以 看出， 5 月、 6 月 和 7 月是 2020 年 攻 击 量 最大的三 个 月。 截止到 2020 年 11 月 15 日， 全 年遭受 到 漏洞网 站共 计 万个 （ 全年去 重 ） ， 占 360 网站卫士 覆 盖总 量 （ 万 ）的 %。 平 均 每 月 有 万 个 （按 月 去重 ） 网站遭 遇 各类 漏洞攻击 ， 同 比 下降了 %。 2020 年 5 月共有 万个网站 遭 遇攻 击 ， 创 2020 年 度 之最。 11 二、 漏洞攻 击 类型 分 析 下表给出了 360 网 站 卫士拦 截 漏洞攻 击 次数最 多 的 10 个漏洞类 型。 针对这 10 个 类 型漏 洞攻击的 拦 截量占 到 漏洞攻 击 拦截总 量 的 60%以上。 TOP10 漏洞攻击类型 拦截次数（万） 1 SQL 注入 2 扫描器 3 备份文件 探测 4 Nginx 攻击 5 XSS 攻击 6 本地文件 包 含 7 信息泄露 8 命令注入 9 UA 攻击 10 代码注入 表 2 漏洞攻击拦截量 Top10 的漏洞及其拦截次数 下图给出 了 漏洞攻 击 拦截量 的 类型分 布 情况。 三、 漏洞攻 击 地 域 分析 （一） 遭到漏洞 攻 击地域 分 析 从遭到漏 洞 攻击 IP 的地域分布来看， %受 害者 IP 来自境内地区 IP，境外的受害者 仅为 %。 从境内受 害 者的 IP 地域分布 来 看 ， %来 自 北京 ， 居 于首位 ； 其 次 分别 为 浙 江 （ %）、 四川（ %） 、广 东 （ %） 、江 苏 （ %）等。 从境外受 害 者的 IP 地域分布 来 看 ， %的 受 害者 来 自加拿大 ， 排在第 一 位。 其 次是美 国（ %） 、韩 国 （ %） 、罗 马 利亚（ %） 、日 本 （ %） 等。 12 下图给出了 2020 年 遭 到漏洞 攻 击的十 大 城市 ， 其 中 ，北京遭 到 攻击的 IP 最多， 高 达 亿次， 居 于全国 首 位；其 次 是 成都 （ 亿 次 ） 、 上海（ 1645 万次 ） 、 南京（ 1639 万次 ） 、 郑 州 （ 1352 万次 ） 、广州 （ 1244 万次 ） 、 杭 州 （ 734 万 次 ） 、 合 肥 （ 607 万次 ） 、 深 圳（ 384 万 次）和福 州 （ 376 万 次 ）。 （二） 发起漏洞 攻 击地域 分 析 从发起漏 洞 攻击 IP 的地域分布 来 看， %攻 击 者 IP 来自境内地区 ， 来自境 外 的攻击 占比为 %。 境外攻 击 来源占 比 相较 2020 年 的 %增 加 了 13 个 百分点。 从侧面 说 明， 来自境外 的 网站攻 击 呈现日 益 严重之 势。 从境内攻 击 者的 IP 地域分布 来 看 ， %来 自 江苏 ， 居 于首位 ； 其 次 分别为 北 京 （ %） 、 河南（ %） 、 浙 江（ %） 、 上 海（ %） 、 广东 （ %） 等。 从境外攻 击 者的 IP 地域分 布 来看 ， %。