报告摘要

从异军突起到千团大战，团购行业在国内仅仅用了一年多时间。作为如今最火热的互联网应用之一，团购网站在高速发展的同时，也暴露出许多网站安全问题：

第一、团购网站技术门槛低、商业模式清晰，大量中小规模企业和个人进入团购市场，网站安全维护能力参差不齐，大批团购网站存在高危漏洞;

第二、团购业务与用户消费密切相关，一旦有漏洞被黑客利用，可能出现商品价格等信息被篡改、用户数据库泄露、用户消费凭据和账户余额失窃，以及网站被黑客利用组织钓鱼欺诈活动等多重危害，使商家和消费者蒙受经济损失;

第三、团购网站安全问题已开始显现，例如：

① 某知名团购网站的市场活动遭黑客攻击而被迫喊停，不仅赔了数百万元，声誉也受到影响;

② 微博传言某团购网站被黑客利用SQL注入漏洞刷库(窃取数据库)，导致大量用户名和密码泄露，而团购用户一般使用常用邮箱和密码注册，很可能和网上支付等重要账户使用同一套用户名和密码;

③ 此外，有技术人员发现某团购网站“砸金蛋”活动存在漏洞，写段JS脚本自动砸了2000多个“金蛋”，所幸该技术人员通知团购网站修复了漏洞。

修复漏洞、强化网站安全机制，无疑是团购网站正常运营的保障。近期，360网站安全检测平台在289家团购网站授权下，对这些网站进行了安全检测，结果表明：

① 70.6%的团购网站存在高危漏洞，可被黑客轻易攻击利用;存在严重级别漏洞和警告级别漏洞团购网站比例分别为54.7%和66.4%，而完全没有明显漏洞的团购网站比例仅为5.5%;

② 高危漏洞中，跨站脚本漏洞、团购程序漏洞，以及SQL注入漏洞是出现频率最高的三类漏洞，存在上述漏洞的团购网站比例分别为61.3%、41.5%和19.4%，大量网站同时存在多种不同类型的高危漏洞。

③ 知名大型团购网站的安全状况相对较好，出现高危漏洞的网站比例为25.0%，出现严重漏洞的网站比例为12.5%(知名大型团购网站，指艾瑞数据统计中月度活跃用户量超过500万的团购网站);

④ 部分中小型团购网站欠缺安全意识和专业维护能力。以漏洞种类计算，个别网站存在9种不同类型的漏洞;以漏洞数量计算，个别网站存在39个漏洞;

在360网站安全检测平台和360团购导航的协助下，大多数团购网站可快速自主修复漏洞，提高网站防护能力。目前，经过360检测的团购网站已陆续对漏洞进行了修复处理。

360网站安全检测平台认为：团购网站作为重要的电子商务载体，哪怕只是一点安全问题的细微疏忽，也可能出现难以挽回的业务和用户财产损失。然而从此次检测结果判断，大多国内团购网站的安全性并无法满足用户放心消费、网站安全经营的需要。

为此，360将在本次《2011年中国团购网站安全报告》中，对团购网站普遍存在的漏洞风险进行统计和分析，并提供解决方案，希望能够引导团购网站加强安全意识，在网站安全管理方面做到防患于未然。

免责声明

本报告为360安全中心旗下360网站安全检测平台(https://webscan.360.cn )、360团购导航(https://tuan.360.cn )发布的研究数据和分析资料。该报告的主要数据来源于授权360进行网站安全检测的289家团购网站，检测日期为2011年9月。

本报告可供任何个人、政府相关部门及行业机构、企事业单位参考，但对于本报告所阐述之内容、数据及分析结果，360安全中心不承担与此相关的一切法律责任。

注：团购网站授权360进行网站安全检测，即团购网站的所有者提出检测申请，并通过网站所有者的身份证明验证，360网站安全检测平台再通过在线扫描的方式为网站提供漏洞检测、挂马检查、篡改检测等多项免费服务。

第一章 团购网站安全检测结果

(一)70.6%的团购网站存在高危漏洞

经过360网站安全检测平台检测：70.6%的团购网站存在高危漏洞，可能使团购网站或用户遭遇安全威胁;此外，分别有54.7%和66.4%的团购网站存在严重漏洞或警告漏洞;存在提示级别漏洞的网站比例高达93.8%，不过提示级别漏洞一般并不会形成直接风险，属于可选修复的漏洞：

值得注意的是，大型团购网站的安全状况明显强于行业平均水平。此次360网站安全检测平台一共检测了8家月度用户数在500万以上的大型团购网站(据艾瑞统计数据)，存在高危漏洞、严重漏洞和警告漏洞的网站比例分别是25.0%、12.5%和25.0%。然而由于黑客往往选择大网站作为攻击目标，例如通过SQL注入漏洞窃取用户数据库，因此大型团购网站更应重视安全防护。

另据统计，在360网站安全检测平台协助各团购网站修复漏洞之前，仅16家网站完全不存在明显漏洞，所占比例只有5.5%。

注：根据漏洞风险程度及其被黑客利用的可能性，360网站安全检测平台将网站漏洞分为高危、严重、警告、提示等四个级别，主要包括下列22种具体漏洞类型：