安全宝发布《2012年网站安全统计报告》

安全宝 发表于:13年03月18日 12:55 [来稿] DOIT.com.cn

  • 分享:
[导读]近日,网站安全专家安全宝发布了《2012年网站安全统计报告》。报告指出,2012年度受国内用户热捧的开源程序频频爆出高危漏洞,电子商务网站成为重点攻击对象,大量网民信息遭受泄露威胁。在严峻的安全形势下,安全宝建议Web网站用户加强安全防护手段,避免被攻击者乘虚而入。

近日,网站安全专家安全宝发布了《2012年网站安全统计报告》。报告指出,2012年度受国内用户热捧的开源程序频频爆出高危漏洞,电子商务网站成为重点攻击对象,大量网民信息遭受泄露威胁。在严峻的安全形势下,安全宝建议Web网站用户加强安全防护手段,避免被攻击者乘虚而入。

安全宝报告指出:自从Web2.0问世以来,Web产品逐渐走向开源化,然而,在低成本的背后却引发了越来越多针对这些开源程序进行的恶意攻击。因此,通过数据分析来深入揭示Web安全威胁的新特点,把握Web安全市场发展的新趋势就变得非常必要。安全宝作为国内第一家采用零部署的云计算技术一站式解决各种安全问题的高科技企业,通过使用指纹识别技术,可以精确的分析这些数据背后所展现的Web漏洞攻击趋势。

安全宝发现,Web漏洞在2012年呈现出以下三点特征:

一、遭受攻击最多的程序为dedecms

从受攻击网站类型分析,遭受攻击最多的程序为dedecms,其主要存在“dedecms search.php文件注入”与“dedecms ajax_membergroup注入”这两种漏洞,两者占总体攻击数量比例为24.78%,涉及网站比例则高达77.91%。

安全宝报告指: dedecms之所以成为黑客攻击的众矢之的,一方面是因为dedecms是知名的PHP网站管理系统之一,使用人数广泛,这吸引了众多网络攻击者的注意;另一方面,dedecms是一个开源系统,不但很多源码直接暴露在网络攻击者面前,而且其程序漏洞在众多网站中保持着相当高的一致性,这就大幅降低了网络攻击的难度。

二、SQL注入与XSS跨站脚本攻击占据半壁江山

在近两年,虽然SQL注入攻击有所减少,但是依然是Web程序的一个主要威胁。从数据中我们可以看出,在攻击方式中,SQL注入以36.5%的比例位居榜首。黑客通过SQL注入攻击,可以操控数据库、篡改数据,甚至进一步入侵服务器,危害较大。


其次是任意文件读取和跨站脚本攻击,任意文件读取是指黑客通过目录跳转,查看文件内容。跨站脚本攻击也叫XSS,黑客通过XSS攻击可以盗取用户账号信息,网站挂马操作等,XSS攻击在owasp top10中位居第二的位置也说明了其危害性不容小视。

三、电子商务网站安全性薄弱,成为攻击重点的对像

从2012年热点漏洞攻击次数TOP10统计数据来看,排名第一的“淘宝客7.4 huangou.php注入漏洞”以及排名第四的“shopxp TEXTBOX2.ASP注入”漏洞都针对的是电子商务中的商城程序。而从部分电商的漏洞分析数据中,我们也可以看出,高危、中危漏洞分布广泛,这凸显了电子商务网站所面临的安全困境。

安全宝报告指出,电子商务网站的安全之所以薄弱,是因为中小型电子商务网站参与者众多,既缺乏安全编程的开发经验,也缺少相关投入的资金支持。而且,电子商务网站普遍存在重内容轻安全建设与安全管理的问题,很多网站用通用模板进二次开发,存在很多已知漏洞和安全隐患。


此外,安全宝还监测到以下一些攻击,其攻击手法、地理特征和修复难题或将成为2013年网站用户的防御重点:

1、 远程拒绝服务类攻击大量上升

DDoS是最常见的攻击手法,而且更直接、更有效。随着网络带宽的应用发展,几台傀儡PC主机就可以通过CC攻击完成对中小型网站的攻击。

2、 中国境内近一半 DDoS 攻击的受害者位于北上广地区

安全宝处理过的DDoS流量攻击在地域上基本覆盖了互联网全部产业较发达的地区,其中近一半受害者来自互联网产业比较发达的北、上、广地区。互联网行业的残酷竞争是这些地区DDoS流量攻击高发的直接诱因。

3、 大部分网站发现漏洞或被入侵后难以自我修补

随着新漏洞不断涌现,新的自动化攻击方法不断发展,Web应用漏洞的威胁越来越大。而中小型网站在安全技术、知识、经验等方面的储备都非常有限,很难在发现Web应用漏洞时采取有效的防范措施。

安全宝希望通过一系列的权威安全数据和曝光漏洞引起网站用户的高度注意,同时也建议用户寻求专业的网站安全公司共同御敌,并使用安全宝网站安全系统等优秀的网站安全防护系统来应对漏洞的威胁。安全宝网站系统采用了领先的零部署、零维护云计算技术技术,可以使用“替身系统”周全的保护用户的原始服务器,关闭因为Web漏洞敞开的入侵大门。

 

[责任编辑:张存]
张存
2013年5月7日,全球领先的独立企业数据集成软件提供商Informatica在北京召开了媒体见面会,Informatica公司执行副总裁兼首席营销官Margaret Breya女士和Informatica大中国区总经理王晨杰先生向到会的数十家媒体阐释了Informatica公司最新发展蓝图,共享了数据集成和数据质量管理方面的成功经验,以及布局中国市场的最新思路。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.