根據安全公司Menlo Security的最新報告，全球最流行的前一百萬個網站中有三分之一存在漏洞，或者已經被黑客入侵。

舉 例而言，上個月黑客利用福布斯網站(Frobes.com)進行了一次只持續了幾天的快速水坑攻擊。攻擊利用了Adobe Flash的零日漏洞。Menlo公司的技術人員也關注了此次攻擊，同時發現還有其它為數不少的網站也被入侵，這些網站向不知情的用戶植入惡意軟件。

為 了進一步進行研究和分析，技術人員根據Alexa排名列表，研究了最流行的一百萬個網站。他們先是下載普通用戶訪問時會從網站上下載的數據，包括HTML 框架(iFrames)、嵌入內容(embeds)、小插件(widgets)和網絡廣告(ad networks)，也就是在訪問網站時下載到瀏覽器中的所有內容，然后將其和已知的惡意網站進行比對并記錄。

研究發現，有66%的網站上沒有檢測到漏洞，但其余34%的網站都存在“有風險”。而且，其中22%的網站運行在有漏洞的系統上。比如，超過10%的網站都運 行在容易被入侵的PHP應用框架下。另外8%使用的是有同樣有風險的網站服務軟件，一半是Apache，另一半則是IIS。

此外，2%的網站使用有風險的CMS(內容管理系統)，其中一半是Wordpress，另一半則是Drupal。

調查表明，尋找運行有隱患軟件的網站并不需要什么特別的技術，網站的基礎服務架構信息可以被任何發出請求的瀏覽器所獲取。

除去這些容易被黑的網站之外，還有4%的網站已經被惡意軟件入侵，另外4%則被用于制造垃圾郵件僵尸網絡。而這些幾乎都是全世界最廣受信任的網站。

該項研究還調查了那些容易被入侵的網站類型，在各種主流的網站分類下，比如科技、商業、購物、娛樂、新聞、旅游、金融、體育等，有漏洞的比例大體上徘徊在20%上下。

另外有些網站類別的漏洞比例則遠遠高出這個量級，甚至可以達到80%，如非法下載網站，可以想象它的安全狀況有多么的糟糕。

但這些網站與福布斯網站有很大的不同，用戶和業界已經對大部分非法網站提高了警惕。而福布斯網站則廣為人知，人們先入為主地信任它。但Menlo公司的研究表明，這種想法太想當然了。

我們有什么辦法改變現狀嗎?

原文地址：http://www.aqniu.com/security-reports/7084.html