360发布团购网站安全检测报告

从异军突起到千团大战,团购行业在国内仅仅用了一年多时间。作为如今最火热的互联网应用之一,团购网站在高速发展的同时,也暴露出许多网站安全问题:

团购网站技术门槛低、商业模式清晰,大量中小规模企业和个人进入团购市场,网站安全维护能力参差不齐,大批团购网站存在高危漏洞;

团购业务与用户消费密切相关,一旦有漏洞被黑客利用,可能出现商品价格等信息被篡改、用户数据库泄露、用户消费凭据和账户余额失窃,以及网站被黑客利用组织钓鱼欺诈活动等多重危害,使商家和消费者蒙受经济损失;

团购网站安全问题已开始显现,例如:

某知名团购网站的市场活动遭黑客攻击而被迫喊停,不仅赔了数百万元,声誉也受到影响;

微博传言某团购网站被黑客利用SQL注入漏洞刷库(窃取数据库),导致大量用户名和密码泄露,而团购用户一般使用常用邮箱和密码注册,很可能和网上支付等重要账户使用同一套用户名和密码;

此外,有技术人员发现某团购网站“砸金蛋”活动存在漏洞,写段JS脚本自动砸了2000多个“金蛋”,所幸该技术人员通知团购网站修复了漏洞。

修复漏洞、强化网站安全机制,无疑是团购网站正常运营的保障。近期,360网站安全检测平台在289家团购网站授权下,对这些网站进行了安全检测,结果表明:

70.6%的团购网站存在高危漏洞,可被黑客轻易攻击利用;存在严重级别漏洞和警告级别漏洞团购网站比例分别为54.7%和66.4%,而完全没有明显漏洞的团购网站比例仅为5.5%;

高危漏洞中,跨站脚本漏洞、团购程序漏洞,以及SQL注入漏洞是出现频率最高的三类漏洞,存在上述漏洞的团购网站比例分别为61.3%、41.5%和19.4%,大量网站同时存在多种不同类型的高危漏洞。

知名大型团购网站的安全状况相对较好,出现高危漏洞的网站比例为25.0%,出现严重漏洞的网站比例为12.5%(知名大型团购网站,指艾瑞数据统计中月度活跃用户量超过500万的团购网站);

部分中小型团购网站欠缺安全意识和专业维护能力。以漏洞种类计算,个别网站存在9种不同类型的漏洞;以漏洞数量计算,个别网站存在39个漏洞;

在360网站安全检测平台和360团购导航的协助下,大多数团购网站可快速自主修复漏洞,提高网站防护能力。目前,经过360检测的团购网站已陆续对漏洞进行了修复处理。

360网站安全检测平台认为:团购网站作为重要的电子商务载体,哪怕只是一点安全问题的细微疏忽,也可能出现难以挽回的业务和用户财产损失。然而从此次检测结果判断,大多国内团购网站的安全性并无法满足用户放心消费、网站安全经营的需要。

为此,360将在本次《2011年中国团购网站安全报告》中,对团购网站普遍存在的漏洞风险进行统计和分析,并提供解决方案,希望能够引导团购网站加强安全意识,在网站安全管理方面做到防患于未然。 (编选:中国电子商务研究中心)