12月21日，360互聯網安全中心發布《中國網站安全報告（2015）》，對全年網站漏洞、后門情況，漏洞遭受攻擊情況、以及個人信息情況等進行了總體研究，報告顯示，目前，4成網站存在漏洞，黑客利用漏洞對8萬多家網站進行篡改，兩成服務器被植入后門，黑客引導網民前往惡意網站。

上百萬網站有漏洞 高危漏洞占兩成

2015年全年（截至11月18日），360網站安全檢測平臺共掃描各類網站231.2萬個，較2014年的164.2萬個增加了40.8%。其中，掃出存在漏洞的網站101.5萬個，占比為43.9%，較2014年的61.7萬個增長了64.5%。其中，掃出存在高危漏洞的網站30.8萬個，占掃描網站總數的13.3%，較2014年的27.9萬個增長了10.4%。

從檢測出漏洞的危險等級看，高危漏洞占21.7%，中危漏洞占10.2%，低危漏洞占68.1%。

從漏洞數量來看，360網站安全檢測平臺全年共掃描發現網站高危漏洞265.1萬次，約為2014年462.1萬次的一半，平均每月掃出高危漏洞約24.1萬次；平均每天掃出高危漏洞約0.8萬次。

相比于2014年，高中低危漏洞掃出數量大致相當，由于掃描網站數量大大增加，因此，2015年，高中危漏洞的掃出比例大幅下降。

從漏洞類型來看，從網站漏洞類型上看，跨站腳本攻擊（XSS）漏洞、異常頁面導致服務器路徑泄露、SQL注入漏洞等是2015年最為頻繁掃出的漏洞類型。三類安全漏洞之和接近網站所有漏洞檢出總次數的一半。其中，跨站腳本攻擊漏洞占21.9%、異常頁面導致服務器路徑泄露占11.8%和SQL注入漏洞占16.0%，這相比2014年，“異常頁面導致服務器路徑泄露”之漏洞是今年的“黑馬”漏洞，超過SQL注入漏洞而躍居第二。

兩成服務器有被植入后門 黑客密碼也用弱口令

黑客入侵網站后，一般有三類常見攻擊行為：一是篡改網站內容；二是植入后門程序，三是通過其他方式騙取管理員權限，進而控制網站或進行拖庫。

360互聯網安全中心對掃描監測的231萬個網站進行大數據分析，存在漏洞的網站中被篡改（不包括被植入后門程序）的網站8.4萬個，比2014年的17.7萬個下降了52.5%，網站遭篡改情況明顯好轉。

而從每月數據統計來看，2015年前十一個月平均每個月掃描檢出被篡改網站1.6萬個，比2014年的3.28萬，減少了50.5%。

2015年全年（截至11月18日），360互聯網安全中心共對21854臺網站服務器進行了網站后門檢測，覆蓋網站322.3萬個，掃描發現約4097臺服務器存在后門，比2014年的3465臺服務器增加了18.2%，約占所有掃描網站服務器的19%。

2015年全年（截至11月18日）360互聯網安全中心已掃出各類網站后門文件樣本數量多達858.1萬個。其中，SEO后門數量占比最高，達45.0%，其次是一句話木馬，占比35.0%，多功能木馬占比2.0%。與2014年一句話木馬占到了網站后門的69.2%不同，今年惡意SEO后門的占比最高。

 目前，大部門網站后門都暗藏惡意域名鏈接，這些惡意域名鏈接會指向一個受黑客控制的惡意網站。下表為2015年網站后門中出現次數最多的10個惡意網站域名。 

一般來說，黑客會在植入控制類木馬時設置密碼，目的是防止其他黑客使用自己植入的后門。但DDoS腳本木馬通常則不會設置密碼，一般只需要填寫要攻擊的host和端口，就可以發動流量攻擊。

有意思的是，很多網站被成功入侵的原因之一就是管理員使用了弱密碼或弱口令。但通過對網站后門的分析研究也發現，黑客在設置后門程序密碼時，也會習慣性的使用一些常見密碼。

因漏洞 個人信息泄露將雪崩出現

2015年，關于網站被拖庫、撞庫的新聞時時見諸于各類媒體。記者根據報告統計顯示，在2015年（截至2015年11月18日）中國最大的漏洞信息響應平臺補天平臺收錄的網站漏洞中，共有1410個漏洞可能造成網站上的個人信息泄露，這些漏洞共涉及網站1282個，可能泄露的個人信息量（本章下文簡稱泄露信息量）高達55.3億條。這一數字較2014年的23.6億條翻了一倍還多。如果按照中國網民總數為6.5億計算，這一數字也就意味著，僅僅在2015年這一年，平均每個中國網民就至少可能泄漏了8條以上的個人信息。

報告指出，目前，個人信息的泄漏已經成為電信騷擾和網絡盜號、網絡詐騙等網絡犯罪頻發的首要原因。越來越多的黑客和犯罪分子參與到個人信息的盜竊和交易當中。未來三至五年內，個人信息的泄漏可能仍將呈現不可逆的，雪崩式的增長。

在萬物互聯時代，物聯網、車聯網、互聯網+金融、O2O創業等領域方興未艾，事實證明，

廠商重視客戶端應用界面的快速上線，而忽略了應用背后常規、基礎的安全保障功能，以致對安全投入成本跟不上，導致大量應用及網站服務器端漏洞曝出。

專家說法：大數據保障網絡安全

裴智勇博士介紹， 網站漏洞通常為事件型漏洞和通用型漏洞，事件性漏洞不易被自身監測。網站加入補天平臺，通常意味著網站會安排專人對補天平臺報告的漏洞進行響應和處理，但是，統計顯示，加入補天后，網站信息漏洞呈直線下降趨勢，安全性大大提高。在2015年被報告漏洞的備案網站中，有22.0%的網站已加入補天平臺，還有近八成的網站未加入。

裴智勇博士介紹，，2015年，“數據驅動安全”的全新技術理念正在逐步取代傳統的被動防御、靜態防御、孤立防御的技術理念，成為廣泛認可的重要的網絡安全發展趨勢，并且已經取得了一系列的重要成果。威脅情報將是未來一兩年內，最具發展潛力的新興安全服務技術。人工智能、機器學習以及大數據可視化等一系列新興的網絡安全技術，將成為網絡安全企業競爭力的核心體現。