2015年 中国网站安全报告.pdfVIP

2015 年 中国网站安全报告 2015 年 12 月 22 日 摘 要 网站漏洞  2015 年全年，360 网站安全检测平台共扫描各类网站231.2 万个；其中，存在安全漏洞 的网站为101.5 万个，占扫描网站总数的43.9% ；存在高危安全漏洞的网站共有30.8 万 个，占扫描网站总数的13.0%。  360 网站安全检测平台全年共扫描发现网站高危漏洞265.1 万次，较2014 年的462.1 万 次下降了约一半；扫描发现网站高危漏洞的比例为21.7% ，中危占10.2%，低危占68.1% 。 与2014 年相比，今年高、中危漏洞扫出比例大幅下降。  2015 年（截至11 月18 日）补天共收录的各类网站漏洞总数为37943 个，平均每月3161 个。其中，高危漏洞占比为71.2% ；从漏洞性质上看，事件型漏洞占86.3%，通用型漏 洞占比13.7%。  网站修复安全漏洞比例极低，仅为4.7% ；在已修复的比例中，24 小时内修复的比例为 10.3%，2-3 天内修复的比例为 14.1%，4-7 天内修复的比例为23.8% ，其余修复周期大 于一周（7 天）的占一半以上。 网站篡改与后门  2015 年全年，360 网站安全检测平台共扫描各类网站231.2 万个，其中，被篡改的网站 8.4 万个，约占扫描网站总数的3.6%，网站遭篡改情况明显好转。  2015 年全年，360 网站安全检测共对21854 台网站服务器进行了网站后门检测，覆盖网 站322.3 万个，扫描共发现约4097 台服务器存在后门，占所有扫描网站服务器的18.7% 。  2015 已扫出各类网站后门文件样本数量多达858.1 万个，与2014 年 “一句话木马”占 到了网站后门 69.2% 的情况不同，今年恶意 SEO 后门的占比最高，为 45.0% ；不过感 染网站服务器最多的木马依然是 “一句话木马”。 漏洞攻击  2015 年全年，360 网站卫士共拦截各类网站漏洞攻击16.5 亿次，平均每月拦截漏洞攻 击近1.4 亿次。  2015 年平均每月有 17.1 万个网站遭遇各类漏洞攻击，其中，1 月是网站遭遇漏洞攻击 最为频繁的一个月，平均每天约有8290 个网站遭到漏洞攻击。  从攻击类型看，2015 年，SQL 注入攻击最多，拦截次数超过8 亿次，其次为Nginx 漏 洞攻击、命令注入攻击 （Common Vulnerability ）。  从发起漏洞攻击IP 的地域分布来看，90.2%攻击者IP 来自境内地区，来自境外的攻击 仅为9.8%，境内占比较2014 年增长1.2 个百分点；其中，境内攻击者IP 归属地排名前 三依次是：浙江31.5%、江苏28.3% 、北京19.0%。境外攻击者IP 归属地排名前三依次 是：法国43.5%、美国29.8% 、荷兰3.0% 。  从遭到漏洞攻击IP 的地域分布来看，95.7%受害者IP 为境内地区IP，境外的受害者仅 为4.3% 。其中，境内遭到漏洞攻击最多的地区是北京 17.7%、江苏13.2%和山东11.0% 。 网站安全性行业分析  2015 年补天平台已收录的网站漏洞中，备案网站的漏洞为 28040 个，占比为 73.9%， 未备案或备案已过期的网站漏洞9903 个，占比为26.1% 。漏洞共涉及22084 个网站。  从漏洞性质看，没有备案的网站存在的漏洞中，通用型漏洞比例达到52.1%，而备案网 站中通用型漏洞比例很低，仅为0.2%，说明备案网站的安全性明显高于未备案网站。  从五种不同备案类型看，企业网站报告的漏洞最多，达 14981 个，高危漏洞10092 个， 漏洞涉及11453 家企业网站；其次是事业单位网站，被报漏洞6504 个，高危漏洞4339 个，漏洞涉及 5179 家事业单位网站；政府网站排第三，被报漏洞3941 个，高危漏洞 2805 个，漏洞涉及3315 家政府网站。  从修复率上看，企业网站的修复率是最高的，但也只有 6.5% ；政府网站的漏洞修复率 在所有备案类型网站中排名垫底，仅为 1.8%；