4、2014互联网网站安全简析

　　2011年12月21日，国内最大的开发者社区CSDN数据库被黑客攻击，以致600万用户资料外泄，由此拉开了我国互联网史上最大规模信息泄露事件序幕。2014年网站泄密事件依然不断升级、不断发生，每天都有新的大型知名网站的用户信息外泄，据不完全统计已有超过上亿互联网用户资料泄露，绝大部分信息均为有效数据。网站泄密事故发生主要原因在于网站存在漏洞，从而遭到黑客入侵“拖库”。这些网站设计时是允许任何人、从任何地方登陆进入访问，因而也成为了通往隐藏在深处的重要数据的桥梁。通过安恒信息风暴中心网站安全监测平台的统计，目前国内存在高危漏洞的网站约占 35 %，中危漏洞的网站约占 45%，低危漏洞的网站约占 62%，而相对比较安全的网站只有 23%。

　　目前国内网站存在最多的高危风险的漏洞包括了sql注入、跨站脚本攻击、网站弱口令等漏洞;中危风险的漏洞是备份文件、目录遍历漏洞;低危风险的漏洞是trace等漏洞。

　　攻击者在实际操作中往往会先开始寻找目标网站的薄弱环节，如开源的代码、废弃的旧网站、开发人员的错误、盲目信任的用户。攻击者都在竭力寻找这些薄弱环节，并最大限度地加以利用。通常攻击者不用花费多少时间和精力就能找到这些薄弱环节，并利用多个不同类型的漏洞对网站进行攻击，包括运用社会工程学手段、目录遍历、网站弱口令破解等方式，达到其入侵和渗透目的。

　　(1)、电子政务：网站安全任重道远

　　根据安恒信息在2014年电子政务网站安全随机检查中，对国家部委、中央企业以及10个省市的重点政府网站进行安全检查工作，检查网站总数为5023个，发现675个网站存在安全漏洞，占被抽查网站总数的11.10%，存在高危漏洞的网站有366个，占3.12%;中危漏洞的网站有2572个，占21.95%;低危漏洞数量有8778个，占74.92%。如下图所示：

▲全国政府网站安全抽查网站安全状况

▲全国政府网站安全抽查漏洞等级分布情况

　　(2)、网站篡改：仍以网络暗链为主要攻击手段

　　在众多的网络攻击方式中，网页篡改是比较浅层的攻击手段，而我国相对滞后的网站建设却使之成为攻击网站的主要技术手段之一。

　　依照攻击方式，网页篡改可以分成显式篡改和隐式篡改。通过显式网页篡改，黑客可炫耀自己的技术和技巧，或达到声明自己主张的目的;隐式篡改则一般是在被攻击网站的网页中植入暗链，这些暗链往往被链接到色情、诈骗等非法信息，可帮助黑客谋取非法经济利益。为了篡改网页，黑客一般需提前知晓网站的漏洞，提前在网页中植入后门，并最终获取网站的控制权。

　　2014年，网络暗链在安恒信息风暴中心互联网大数据监控平台的网页篡改中居于领先位置。所谓暗链攻击，是指黑客通过隐形篡改技术在被攻击网站的网页植入暗链，这些暗链往往被非法链接到色情、诈骗、甚至反动信息。

　　2014年，安恒信息风暴中心网站安全监测平台发现国内被篡改的网页数量为134346个。国内被篡改网页的月度统计情况如下图所示，统计包含网站被植入暗链的情况：

　　2014年我国境内被植入暗链网站按地域类型前十位分布情况如下图示，篡改页面总量达到99017个，其中北京、广州、江苏三省市被篡改页面居全国前三。

　　(3)、网站漏洞：SQL注入仍是网站安全头号威胁

　　为了篡改网页植入暗链盗取数据，黑客一般需提前知晓网站的漏洞，提前在网页中植入后门，并最终获取网站的控制权。作为现在互联网Web应用系统最经常被利用且影响最严重的漏洞，SQL注入漏洞和XSS跨站脚本漏洞仍然是年互联网安全威胁的重要攻击方式，WebDev和Strurs2漏洞威胁依然存在于较多的政府网站与商业网站。

　　2014年我国境内被SQL注入漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

　　2014年我国境内被XSS跨站脚本漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

　　2014年我国境内被WebDev漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。

　　2014年我国境内被WebDev漏洞攻击网站按地域类型分布排名前十位的省份如下图所示。