2016年 中国网站安全 漏洞形势分析 报告 2017年1月5日 摘 要 网站扫描漏洞分析  2016年全年(截至 11月15日),奇安信网站安全检测平台共扫描各类网站 197.9万 个,其中, 存在漏洞的网站 91.7万个,占比为 46.3%;存在高危漏洞的网站 14.0万个 (全年去重) ,占扫描网站总数的 7.1%。  从检测出漏洞的危险等级 来看,高危漏洞数量占 26.4%,中危占 10.4%,低危占 63.2%。  奇安信网站安全检测平台全年共扫描发现网站高危 漏洞 480.8万次, 较 2015年267.7万 次大幅增长 80%,平均每月扫出高危漏洞约 45.8万次;平均每天 扫出高危漏洞约 1.5万 次。 3月份是扫出高危漏洞最多的月份,数量达到 103.4万次。  应用程序错误信息 (24.4%)、异常页面导致服务器路径泄露( 11.8%)和跨站脚本攻击 漏洞( 16.0%)这三类是占比最高的网站安全漏洞,之和 超过总次数的 60%。 人工挖掘漏洞分析  2016年1月1日-11月15日,补天平台公有 SRC共收录各类网站安全漏洞 32277个, 私有 SRC(含众测)收录漏洞 4911个,总共漏洞数为 37188个;从涉及 web站点看, 补天平台收录的漏洞涉及网站(按域名统计)共 30329个。  2016年被报告漏洞的备案网站中,有 24.2 %的网站已加入补天, 75.8%的网站未加入。  2016年补天平台收录的 漏洞中,备案网站的漏洞 有23982个,占比为 74.3 %,未备案或 备案已过期的网站漏洞 有8295个,占比为 25.7 %。从网站 角度看,备案网站 有22929 个,占比为 75.6 %,未备案或备案已过期的网站占比为 24.4 %。  2016年补天平台收录的网站漏洞中, 通用型漏洞占比为 6.1%, 相比 2015年的 ( 13.7%) 有所下降。 高危漏洞占 50.6%,中危漏洞占 35.4%,低危漏洞占 14.0%。  从漏洞性质看, 在备案的网站中, 通用型漏洞比例很低, 仅为 0.2%, 绝大多数漏洞 ( 99.8%) 为事件型漏洞。相比而言,没有备案的网站存在的漏洞中,通用型漏洞比例 19.7 %,事 件型漏洞 比例为 80.3 %。  从补天平台 收录漏洞的具体类型 来看, SQL注入漏洞 最多,占比为 44.9%,其次是 命令 执行和弱口令 ,分别占 14.0%和11.7%。  对2016年补天平台的备案网站漏洞的抽样调查 显示,平均漏洞修复率仅为 42.9%。  根据厂商明确标记已修复的网站漏洞中, 1天内修复的比例为 7.5%,一周以内修复的比 例为 27.4%,一个月内修复的比例为 33.3%,超过 30天才修复为 31.8%。 网站漏洞攻击分析  2016年(截至 11月15日),奇安信网站卫士共拦截各类网站漏洞攻击 17.1亿次,较 2015年16.5亿次,增长了约 3.7%。  截止到 2016年11月15日, 2016年平均每天拦截 漏洞攻击 534.4万次。 5、6月和 7月 是攻击量最大的三个月 。  截至到 2016年11月15日,全年遭受到漏洞网站共计 63.6万个(全年去重),占 奇安 信网站卫士覆盖总量( 163.6万)的 38.9%。平均每月有 14.3万个网站遭遇各类漏洞攻 击,与2015年平均每月 17.1万个相比下降 了16.4%。  66.9 %受害者IP为境内地区 。其中,34.2 %来自北京, 居于首位 ,其次分别为 浙江(24.8 %)、 四川(11.4 %)、广东(5.6%)、江苏 (4.7%)等。  33.1 %受害者 IP为境外地区。其中,72.5 %的受害者 来自加拿大,排在第一位 ,其次是美 国( 25.6%)、韩国( 0.7%)、罗马利亚( 0.2%)、日本( 0.1%)等。  2016年遭到漏洞攻击的十大城市,北京遭到攻击的 IP最多,高达 1.2亿次,居于全国 首位;其次是成都、上海、南京、郑州、广州、杭州、合肥、深圳和福州。  从发起漏洞攻击 IP的地域分布 来看, 76.6 %攻击者 IP来自境内地区 。其中,39.7 %来自 江苏, 居于首位; 其次分别为 北京(30.6 %)、 河南(12.5 %) 、 浙江(2.1%) 、 上海(2.0%)、 广东(1.8%)等。  23.4 %攻击者 IP来自境外地区。其中,44.6 %来自俄罗斯,其次是美国( 33.9%)、加拿 大( 7.5%)等。  2016年发起漏洞攻击最多的十大城市。 从南京发起漏洞攻击的 IP最多, 高达 5.0亿次, 居于全国首位;其次是北京( 3.89亿次)、郑州( 1.59亿次)、上海、武汉、杭州、合 肥、天津、福州和南昌。  一周之内 漏洞攻击 的分布统计, 星期四是一周中漏洞攻击最为集中的一天, 占总攻击量 中的 15.5%,而周六 的攻击量则相对最 少,仅占总攻击量的 13.7%。  一天之内漏洞攻击 的分布统计, 漏洞攻击多集中于下午 15-17点之间,在 16点达到最 高峰,而早上 5-8点是漏洞攻击比较稀少的时段,凌晨 8点最为安全。 网站安全漏洞行业分析  2016年(截止 11月15日)补天平台收录的 不同备案网站的漏洞总量为 23982个(共 涉及 22929个网站),其中高危漏洞为 10719个。  补天平台收录的备案网站漏洞中,企业网站的漏洞数量是最多的, 占比为 50.3 %,事业 单位网站为 24.7 %,政府机关 网站为16.0 %,个人网站为6.6%,社会团体 网站为2.5%。  从高危漏洞网站来看, 社会团体 网站高危 漏洞占比最多, 为 47.5 %, 企业网站 为47.3 %, 事业单位网站为 43.3 %,政府机关网站为 41.7 %,个人网站为 36.4 %。  政府机关网站的漏洞修复率是最高的,占比为 77.1%,其次事业单位网站为 68.1%,企 业网站为 45.5%,个人网站为 40.1%,社会团体网站为 38.3%。从高危漏洞修复率来看, 政府机关网站同样是修复最高的。  在所有企业 、个人备案的网站中,统计显示, IT/互联网行业网站被报告的漏洞最多, 占 比为 23.5 %。  从高危漏洞网站来看, 电信运营商网站高危漏洞占比最多, 为 56.0%, 生产制造为 54.4%。 游戏类网站排名第三。占比 为51.0%。  电信运营商网站的漏洞修复率是最高的,占比为 83.5%;其次是金融网站为 81.3%,汽 车交通网站为 58.0%,媒体网站为 57.8%。  从高危漏洞修复率来看,金融网站修复率是最高的,占比为 83.3%,其次电信运营商网 站75.6%,汽车交通网站 70.2%。 白帽子与漏洞奖励  2016年(截止 11月15日),共有 2362名白帽子向补天平台提交有效漏洞 37188个 (其中公有 SRC收录 32277个,私有 SRC收录 4911个)。  2362名白帽子获得奖金 420. 3万元, 其中通用型漏洞 占比为16.7 %, 事件型漏洞 83.3%。  2016年获补天平台 奖金最多 的三位白帽子分别是 carry_your 、system_gov 和 hckmaple ,三人各自获得的奖金皆超过 20万。  从报给补天平台并被收录的漏洞总数 来看,挖洞最多的是 hckmaple ,共贡献 1136个漏 洞,平均每天挖洞 3.6个,堪称“挖洞”劳模。  2016年(截止到 11月15日),共有 119名女性白帽子提交漏洞,占比为 10.2%,相比 2015年的 2.8%,有较大幅度提升。  从获得奖金额度占比方面 来看,男性白帽子占据绝对优势,达到 98.5%,女性白帽子获 得奖金额度占比仅为 1.5%,不过,和 2015年(1.1%)相比略有上升。  从白帽子的注册信息来看 ,在 2016年向补天平台提交漏洞的白帽子中,年龄最小的 14 岁,年龄最大的 66岁。其中, 19岁-24岁之间的白帽子数量最多,约占总数的 50%。  从年龄段来看, 年轻的 “ 90后”目前仍然是白帽子的绝对主力 , 占白帽子总量的 70.7%, “80后”次之,占 19.3%。相比 2015年“ 00后”白帽子仅占 0.9%,2016年约有 2.6% 的白帽子是 16岁及以下的青少年,比例和数 量都大为提高。 关键词: 网站安全、漏洞、补天、 检测 4 目 录 第一章 网站扫描漏洞分析 ................................ ................................ ................................ ............ 1 一、 扫描网站介绍 ................................ ................................ ................................ .................... 1 二、 漏洞数量 ........................

pdf文档 奇安信 2016年中国网站安全漏洞分析报

文档预览
中文文档 53 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共53页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
奇安信 2016年中国网站安全漏洞分析报 第 1 页 奇安信 2016年中国网站安全漏洞分析报 第 2 页 奇安信 2016年中国网站安全漏洞分析报 第 3 页
下载文档到电脑,方便使用
本文档由 思安 于 2022-11-26 08:09:27上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。