12月21日,360互联网安全中心发布《中国网站安全报告(2015)》,对全年网站漏洞、后门情况,漏洞遭受攻击情况、以及个人信息情况等进行了总体研究,报告显示,目前,4成网站存在漏洞,黑客利用漏洞对8万多家网站进行篡改,两成服务器被植入后门,黑客引导网民前往恶意网站。
上百万网站有漏洞 高危漏洞占两成
2015年全年(截至11月18日),360网站安全检测平台共扫描各类网站231.2万个,较2014年的164.2万个增加了40.8%。其中,扫出存在漏洞的网站101.5万个,占比为43.9%,较2014年的61.7万个增长了64.5%。其中,扫出存在高危漏洞的网站30.8万个,占扫描网站总数的13.3%,较2014年的27.9万个增长了10.4%。
从检测出漏洞的危险等级看,高危漏洞占21.7%,中危漏洞占10.2%,低危漏洞占68.1%。
从漏洞数量来看,360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次,约为2014年462.1万次的一半,平均每月扫出高危漏洞约24.1万次;平均每天扫出高危漏洞约0.8万次。
相比于2014年,高中低危漏洞扫出数量大致相当,由于扫描网站数量大大增加,因此,2015年,高中危漏洞的扫出比例大幅下降。
从漏洞类型来看,从网站漏洞类型上看,跨站脚本攻击(XSS)漏洞、异常页面导致服务器路径泄露、SQL注入漏洞等是2015年较为频繁扫出的漏洞类型。三类安全漏洞之和接近网站所有漏洞检出总次数的一半。其中,跨站脚本攻击漏洞占21.9%、异常页面导致服务器路径泄露占11.8%和SQL注入漏洞占16.0%,这相比2014年,“异常页面导致服务器路径泄露”之漏洞是今年的“黑马”漏洞,超过SQL注入漏洞而跃居第二。
| 排名 | 漏洞名称 | 漏洞级别 | 扫出次数(万) |
| 1 | 跨站脚本攻击漏洞 | 中危 | 270.7 |
| 2 | 异常页面导致服务器路径泄露 | 低危 | 197.9 |
| 3 | SQL注入漏洞 | 低危 | 145.9 |
| 4 | 发现目录启用了自动目录列表功能 | 低危 | 75.6 |
| 5 | SQL注入漏洞(盲注) | 高危 | 70.2 |
| 6 | IIS短文件名泄露漏洞 | 低危 | 69.1 |
| 7 | Mysql可远程连接 | 低危 | 56.5 |
| 8 | 发现服务器启用了TRACE Method | 低危 | 42.4 |
| 9 | 发现目录开启了可执行文件运行权限 | 低危 | 36.1 |
| 10 | Flash配置不当漏洞 | 低危 | 17.8 |
