近日,网站安全专家安全宝发布了《2012年网站安全统计报告》。报告指出,2012年度受国内用户热捧的开源程序频频爆出高危漏洞,电子商务网站成为重点攻击对象,大量网民信息遭受泄露威胁。在严峻的安全形势下,安全宝建议Web网站用户加强安全防护手段,避免被攻击者乘虚而入。
安全宝报告指出:自从Web2.0问世以来,Web产品逐渐走向开源化,然而,在低成本的背后却引发了越来越多针对这些开源程序进行的恶意攻击。因此,通过数据分析来深入揭示Web安全威胁的新特点,把握Web安全市场发展的新趋势就变得非常必要。安全宝作为国内第一家采用零部署的云计算技术一站式解决各种安全问题的高科技企业,通过使用指纹识别技术,可以精确的分析这些数据背后所展现的Web漏洞攻击趋势。
安全宝发现,Web漏洞在2012年呈现出以下三点特征:
一、遭受攻击最多的程序为dedecms
从受攻击网站类型分析,遭受攻击最多的程序为dedecms,其主要存在“dedecms search.php文件注入”与“dedecms ajax_membergroup注入”这两种漏洞,两者占总体攻击数量比例为24.78%,涉及网站比例则高达77.91%。
安全宝报告指: dedecms之所以成为黑客攻击的众矢之的,一方面是因为dedecms是知名的PHP网站管理系统之一,使用人数广泛,这吸引了众多网络攻击者的注意;另一方面,dedecms是一个开源系统,不但很多源码直接暴露在网络攻击者面前,而且其程序漏洞在众多网站中保持着相当高的一致性,这就大幅降低了网络攻击的难度。
二、SQL注入与XSS跨站脚本攻击占据半壁江山
在近两年,虽然SQL注入攻击有所减少,但是依然是Web程序的一个主要威胁。从数据中我们可以看出,在攻击方式中,SQL注入以36.5%的比例位居榜首。黑客通过SQL注入攻击,可以操控数据库、篡改数据,甚至进一步入侵服务器,危害较大。
其次是任意文件读取和跨站脚本攻击,任意文件读取是指黑客通过目录跳转,查看文件内容。跨站脚本攻击也叫XSS,黑客通过XSS攻击可以盗取用户账号信息,网站挂马操作等,XSS攻击在owasp top10中位居第二的位置也说明了其危害性不容小视。
三、电子商务网站安全性薄弱,成为攻击重点的对像
从2012年热点漏洞攻击次数TOP10统计数据来看,排名第一的“淘宝客7.4 huangou.php注入漏洞”以及排名第四的“shopxp TEXTBOX2.ASP注入”漏洞都针对的是电子商务中的商城程序。而从部分电商的漏洞分析数据中,我们也可以看出,高危、中危漏洞分布广泛,这凸显了电子商务网站所面临的安全困境。
安全宝报告指出,电子商务网站的安全之所以薄弱,是因为中小型电子商务网站参与者众多,既缺乏安全编程的开发经验,也缺少相关投入的资金支持。而且,电子商务网站普遍存在重内容轻安全建设与安全管理的问题,很多网站用通用模板进二次开发,存在很多已知漏洞和安全隐患。
此外,安全宝还监测到以下一些攻击,其攻击手法、地理特征和修复难题或将成为2013年网站用户的防御重点:
1、 远程拒绝服务类攻击大量上升
DDoS是最常见的攻击手法,而且更直接、更有效。随着网络带宽的应用发展,几台傀儡PC主机就可以通过CC攻击完成对中小型网站的攻击。
2、 中国境内近一半 DDoS 攻击的受害者位于北上广地区
安全宝处理过的DDoS流量攻击在地域上基本覆盖了互联网全部产业较发达的地区,其中近一半受害者来自互联网产业比较发达的北、上、广地区。互联网行业的残酷竞争是这些地区DDoS流量攻击高发的直接诱因。
3、 大部分网站发现漏洞或被入侵后难以自我修补
随着新漏洞不断涌现,新的自动化攻击方法不断发展,Web应用漏洞的威胁越来越大。而中小型网站在安全技术、知识、经验等方面的储备都非常有限,很难在发现Web应用漏洞时采取有效的防范措施。
安全宝希望通过一系列的权威安全数据和曝光漏洞引起网站用户的高度注意,同时也建议用户寻求专业的网站安全公司共同御敌,并使用安全宝网站安全系统等优秀的网站安全防护系统来应对漏洞的威胁。安全宝网站系统采用了领先的零部署、零维护云计算技术技术,可以使用“替身系统”周全的保护用户的原始服务器,关闭因为Web漏洞敞开的入侵大门。