近日,網站安全專家安全寶發布了《2012年網站安全統計報告》。報告指出,2012年度受國內用戶熱捧的開源程序頻頻爆出高危漏洞,電子商務網站成為重點攻擊對象,大量網民信息遭受泄露威脅。在嚴峻的安全形勢下,安全寶建議Web網站用戶加強安全防護手段,避免被攻擊者乘虛而入。
安全寶報告指出:自從Web2.0問世以來,Web產品逐漸走向開源化,然而,在低成本的背后卻引發了越來越多針對這些開源程序進行的惡意攻擊。因此,通過數據分析來深入揭示Web安全威脅的新特點,把握Web安全市場發展的新趨勢就變得非常必要。安全寶作為國內第一家采用零部署的云計算技術一站式解決各種安全問題的高科技企業,通過使用指紋識別技術,可以精確的分析這些數據背后所展現的Web漏洞攻擊趨勢。
安全寶發現,Web漏洞在2012年呈現出以下三點特征:
一、遭受攻擊最多的程序為dedecms
從受攻擊網站類型分析,遭受攻擊最多的程序為dedecms,其主要存在“dedecms search.php文件注入”與“dedecms ajax_membergroup注入”這兩種漏洞,兩者占總體攻擊數量比例為24.78%,涉及網站比例則高達77.91%。
安全寶報告指: dedecms之所以成為黑客攻擊的眾矢之的,一方面是因為dedecms是知名的PHP網站管理系統之一,使用人數廣泛,這吸引了眾多網絡攻擊者的注意;另一方面,dedecms是一個開源系統,不但很多源碼直接暴露在網絡攻擊者面前,而且其程序漏洞在眾多網站中保持著相當高的一致性,這就大幅降低了網絡攻擊的難度。
二、SQL注入與XSS跨站腳本攻擊占據半壁江山
在近兩年,雖然SQL注入攻擊有所減少,但是依然是Web程序的一個主要威脅。從數據中我們可以看出,在攻擊方式中,SQL注入以36.5%的比例位居榜首。黑客通過SQL注入攻擊,可以操控數據庫、篡改數據,甚至進一步入侵服務器,危害較大。
其次是任意文件讀取和跨站腳本攻擊,任意文件讀取是指黑客通過目錄跳轉,查看文件內容。跨站腳本攻擊也叫XSS,黑客通過XSS攻擊可以盜取用戶賬號信息,網站掛馬操作等,XSS攻擊在owasp top10中位居第二的位置也說明了其危害性不容小視。
三、電子商務網站安全性薄弱,成為攻擊重點的對像
從2012年熱點漏洞攻擊次數TOP10統計數據來看,排名第一的“淘寶客7.4 huangou.php注入漏洞”以及排名第四的“shopxp TEXTBOX2.ASP注入”漏洞都針對的是電子商務中的商城程序。而從部分電商的漏洞分析數據中,我們也可以看出,高危、中危漏洞分布廣泛,這凸顯了電子商務網站所面臨的安全困境。
安全寶報告指出,電子商務網站的安全之所以薄弱,是因為中小型電子商務網站參與者眾多,既缺乏安全編程的開發經驗,也缺少相關投入的資金支持。而且,電子商務網站普遍存在重內容輕安全建設與安全管理的問題,很多網站用通用模板進二次開發,存在很多已知漏洞和安全隱患。
此外,安全寶還監測到以下一些攻擊,其攻擊手法、地理特征和修復難題或將成為2013年網站用戶的防御重點:
1、 遠程拒絕服務類攻擊大量上升
DDoS是最常見的攻擊手法,而且更直接、更有效。隨著網絡帶寬的應用發展,幾臺傀儡PC主機就可以通過CC攻擊完成對中小型網站的攻擊。
2、 中國境內近一半 DDoS 攻擊的受害者位于北上廣地區
安全寶處理過的DDoS流量攻擊在地域上基本覆蓋了互聯網全部產業較發達的地區,其中近一半受害者來自互聯網產業比較發達的北、上、廣地區。互聯網行業的殘酷競爭是這些地區DDoS流量攻擊高發的直接誘因。
3、 大部分網站發現漏洞或被入侵后難以自我修補
隨著新漏洞不斷涌現,新的自動化攻擊方法不斷發展,Web應用漏洞的威脅越來越大。而中小型網站在安全技術、知識、經驗等方面的儲備都非常有限,很難在發現Web應用漏洞時采取有效的防范措施。
安全寶希望通過一系列的權威安全數據和曝光漏洞引起網站用戶的高度注意,同時也建議用戶尋求專業的網站安全公司共同御敵,并使用安全寶網站安全系統等優秀的網站安全防護系統來應對漏洞的威脅。安全寶網站系統采用了領先的零部署、零維護云計算技術技術,可以使用“替身系統”周全的保護用戶的原始服務器,關閉因為Web漏洞敞開的入侵大門。
京公網安備 11010502049343號