【IT168 调查报告】报告核心观点

　　1. 千帆过尽，SQL注入仍“不改”

　　2. 本月金融业漏洞增长尤为突出

　　3. 11月常见数据泄露原因分析

　　4. 解决弱口令安全建议

　  报告正文

　　2015年11月，安华每日安全资讯总结发布了126个数据泄密高危漏洞，这些漏洞分别来自乌云、补天、漏洞盒子等平台，涉及8个行业，公司机构、互联网、交通运输、教育、金融、能源、运营商、政府。漏洞类型涉及，SQL注入、系统漏洞、弱口令等7类，其中SQL注入仍然是漏洞类型的重灾区。

　　千帆过尽，SQL注入仍“不改”

　　数据安全问题多数是从Web端开始，SQL注入成为Web端的一个顽疾。根据统计的11月份数据安全漏洞其中56个是与SQL注入相关的漏洞，数量占总量的44%，依旧是最多被发现的漏洞类型。这些漏洞遍及公司机构、互联网、政府等7个行业。

▲11月平台SQL注入漏洞占主要比重

　　安华金和数据库攻防实验室统计了8月到11月，4个月间最具代表性的三种漏洞类型的变化趋势(系统漏洞、SQL注入、弱口令)。可以看到SQL注入漏洞数量长期占据高位。

▲2015年8-11月漏洞变化趋势

　　9月份系统漏洞的异军突起是因为struts2等框架软件被爆出一些漏洞的利用方式。至使一些未来得及更新版本的框架软件纷纷“中枪”。其中趋势中最耐人寻味的是弱口令的数量不减反增。弱口令应该是最容易规避，最易被修复的漏洞。但是值得注意的一点是现在的弱口令破解技术已经不是单纯的密码破解，很多以前的防护手段已经不再有效。

　   11月金融业漏洞增长尤为突出

　　从11月126个受到数据泄露漏洞威胁的行业来看，政府、互联网、公司机构依旧是重灾区，但从安华每日安全资讯统计的数量来看比例都成减少趋势。金融业同比10月在比例上出现了大幅的增长(从10月份的7%增长到11月份的18%)11月仅安华每日安全资讯统计出的126个高危漏洞中就有23个金融业的漏洞(包含了银行、互联网金融、证券、保险等几个子类)占11月漏洞总数的18%。

▲11月数据安全漏洞行业分布情况

　　11月金融业被集中爆出漏洞与自身网站代码质量有密切关系。金融行业漏洞中有13个漏洞是绕过WAF的SQL注入漏洞还存在四个弱口令漏洞和一个getshell漏洞。

　　由于一些SQL注入攻击手段可以绕过waf，所以单纯依靠waf防护不能达到一个理想的防护效果。例如本月的某互联网金融主站存在的SQL注入、某银行官网SQL注入、某市人社局网站注入等都是SQL注入绕过Waf的造成的漏洞。要想达到理想的防护效果被入侵单位或厂商就要对网站的源码进行完善修改，从根源上杜绝SQL注入。如果无法对源码进行修改，那就不能只单独依靠WAF来防止SQL注入，需要通过其他软件，例如数据库防火墙等数据库防护产品与WAF协同防护。

　　23个金融业漏洞主要问题都出在和互联网交互的地方。其中互联网金融的漏洞数量尤为突出，这与互联网金融行业重业务发展轻安全有很大关系，强大的业务能力和脆弱的安全性对比显得尤为突出。双乾支付的COO从利波曾直言：“当下很火的P2P平台是黑客的常驻地，因许多中小平台网站“裸奔”，缺乏专业运维技术人员，黑客仅靠简单的攻击手段就可以导致其瘫痪。更有甚者，一些中小P2P平台未进行数据备份，一旦遭到攻击，就会直接导致用户信息泄露，平台关门倒闭。”在当今的环境下，支撑企业发展的不单是业务，安全同样是重要的一环。