报告摘要
从异军突起到千团大战,团购行业在国内仅仅用了一年多时间。作为如今最火热的互联网应用之一,团购网站在高速发展的同时,也暴露出许多网站安全问题:
第一、团购网站技术门槛低、商业模式清晰,大量中小规模企业和个人进入团购市场,网站安全维护能力参差不齐,大批团购网站存在高危漏洞;
第二、团购业务与用户消费密切相关,一旦有漏洞被黑客利用,可能出现商品价格等信息被篡改、用户数据库泄露、用户消费凭据和账户余额失窃,以及网站被黑客利用组织钓鱼欺诈活动等多重危害,使商家和消费者蒙受经济损失;
第三、团购网站安全问题已开始显现,例如:
① 某知名团购网站的市场活动遭黑客攻击而被迫喊停,不仅赔了数百万元,声誉也受到影响;
② 微博传言某团购网站被黑客利用SQL注入漏洞刷库(窃取数据库),导致大量用户名和密码泄露,而团购用户一般使用常用邮箱和密码注册,很可能和网上支付等重要账户使用同一套用户名和密码;
③ 此外,有技术人员发现某团购网站“砸金蛋”活动存在漏洞,写段JS脚本自动砸了2000多个“金蛋”,所幸该技术人员通知团购网站修复了漏洞。
修复漏洞、强化网站安全机制,无疑是团购网站正常运营的保障。近期,360网站安全检测平台在289家团购网站授权下,对这些网站进行了安全检测,结果表明:
① 70.6%的团购网站存在高危漏洞,可被黑客轻易攻击利用;存在严重级别漏洞和警告级别漏洞团购网站比例分别为54.7%和66.4%,而完全没有明显漏洞的团购网站比例仅为5.5%;
② 高危漏洞中,跨站脚本漏洞、团购程序漏洞,以及SQL注入漏洞是出现频率最高的三类漏洞,存在上述漏洞的团购网站比例分别为61.3%、41.5%和19.4%,大量网站同时存在多种不同类型的高危漏洞。
③ 知名大型团购网站的安全状况相对较好,出现高危漏洞的网站比例为25.0%,出现严重漏洞的网站比例为12.5%(知名大型团购网站,指艾瑞数据统计中月度活跃用户量超过500万的团购网站);
④ 部分中小型团购网站欠缺安全意识和专业维护能力。以漏洞种类计算,个别网站存在9种不同类型的漏洞;以漏洞数量计算,个别网站存在39个漏洞;
在360网站安全检测平台和360团购导航的协助下,大多数团购网站可快速自主修复漏洞,提高网站防护能力。目前,经过360检测的团购网站已陆续对漏洞进行了修复处理。
360网站安全检测平台认为:团购网站作为重要的电子商务载体,哪怕只是一点安全问题的细微疏忽,也可能出现难以挽回的业务和用户财产损失。然而从此次检测结果判断,大多国内团购网站的安全性并无法满足用户放心消费、网站安全经营的需要。
为此,360将在本次《2011年中国团购网站安全报告》中,对团购网站普遍存在的漏洞风险进行统计和分析,并提供解决方案,希望能够引导团购网站加强安全意识,在网站安全管理方面做到防患于未然。
免责声明
本报告为360安全中心旗下360网站安全检测平台(http://webscan.360.cn )、360团购导航(http://tuan.360.cn )发布的研究数据和分析资料。该报告的主要数据来源于授权360进行网站安全检测的289家团购网站,检测日期为2011年9月。
本报告可供任何个人、政府相关部门及行业机构、企事业单位参考,但对于本报告所阐述之内容、数据及分析结果,360安全中心不承担与此相关的一切法律责任。
注:团购网站授权360进行网站安全检测,即团购网站的所有者提出检测申请,并通过网站所有者的身份证明验证,360网站安全检测平台再通过在线扫描的方式为网站提供漏洞检测、挂马检查、篡改检测等多项免费服务。
第一章 团购网站安全检测结果
(一)70.6%的团购网站存在高危漏洞
经过360网站安全检测平台检测:70.6%的团购网站存在高危漏洞,可能使团购网站或用户遭遇安全威胁;此外,分别有54.7%和66.4%的团购网站存在严重漏洞或警告漏洞;存在提示级别漏洞的网站比例高达93.8%,不过提示级别漏洞一般并不会形成直接风险,属于可选修复的漏洞:
值得注意的是,大型团购网站的安全状况明显强于行业平均水平。此次360网站安全检测平台一共检测了8家月度用户数在500万以上的大型团购网站(据艾瑞统计数据),存在高危漏洞、严重漏洞和警告漏洞的网站比例分别是25.0%、12.5%和25.0%。然而由于黑客往往选择大网站作为攻击目标,例如通过SQL注入漏洞窃取用户数据库,因此大型团购网站更应重视安全防护。
另据统计,在360网站安全检测平台协助各团购网站修复漏洞之前,仅16家网站完全不存在明显漏洞,所占比例只有5.5%。
注:根据漏洞风险程度及其被黑客利用的可能性,360网站安全检测平台将网站漏洞分为高危、严重、警告、提示等四个级别,主要包括下列22种具体漏洞类型:
(二)国内团购网站常见漏洞TOP10统计
360针对289家团购网站的检测发现,国内团购网站中最常见的漏洞是跨站脚本漏洞,共177家网站出现了426个跨站脚本漏洞;危害最严重的则是SQL注入漏洞,共56家网站存在139个SQL注入漏洞。
以下是一个跨站脚本漏洞示例:
以下是一个SQL注入漏洞示例:
根据漏洞出现的网站比例排序,国内团购网站常见漏洞TOP10统计如下:
需要特别指出的是,41.5%的团购网站存在团购程序漏洞,具体为“最土”、“天天团购”程序UC接口uc_key未初始化漏洞,占所有使用“最 土”、“天天团购”程序的网站比例为64.4%。究其原因,说明国内多数团购网站安全意识欠缺,忽视了升级团购程序版本来修复漏洞。而且该漏洞的危害也非 常大,可能导致黑客无需密码就以网站管理员身份登录,或随意登录其他用户的帐号(在获取他人帐号名的情况下),篡改网站内容或窃取他人的消费凭据。
(三)典型的团购网站安全检测报告示例
以360网站安全检测平台针对某团购网站的检测报告为例,说明网站漏洞情况和处理方案:
经某团购网站授权,360网站安全检测平台在9月17日扫描发现该网站存在30个漏洞,包括4个高危级别漏洞、17个警告级别漏洞,以及9个提示级别漏洞;
具体漏洞描述和修复建议如以下例所示:
第二章 团购网站漏洞会导致哪些风险
由于网站漏洞的触发需要特定的场景,在黑客针对网站的实际攻击行为中,通常会组合利用多种不同类型的漏洞,包括运用社会工程学手段、弱口令破解等方式,达到其入侵和渗透目的。
比如高危级别的“SQL注入漏洞”和警告级别的“本地路径暴露”,如果有网站同时存在这两个漏洞,黑客就有可能在网站服务器上运行脚本后门程序,随 意篡改网站内容;如果服务器操作系统又存在本地提权漏洞,黑客又可以利用漏洞使脚本后门获得系统最高权限,这意味着网站服务器的硬盘也可能被黑客格式化。
下文将以漏洞影响为依据,分析哪些具体的团购业务可能受到网站漏洞的威胁。
(一)用户密码和消费凭据泄露
在团购网站漏洞中,SQL注入漏洞是目前影响最大的漏洞之一。利用该漏洞,黑客可能读取网站数据库,获得注册用户的帐号和密码。此前有微博传言称,国内某团购网站用户数据库被黑客“刷库”。由于19.4%的团购网站存在SQL注入漏洞,这种风险确实存在。
更为严重的是,团购网站的帐号和密码通常是网民的常用邮箱和密码。这类用户数据如果泄露,很可能被黑客利用在网上支付平台进行试探,如果恰好有人在网上支付平台和团购网站使用了相同的注册邮箱和密码,网上支付账户的余额就会被黑客盗取。
因此对于团购网站来说,不仅需要修复网站漏洞,还应对重要的用户数据进行加密处理,降低用户蒙受损失的风险;对网民来说,则应避免使用同一套帐号密码,而是要按照帐号重要程度对密码进行分级管理。
另一项不容忽视的风险是,有些网站漏洞一旦被黑客利用,可使黑客登录他人的团购帐号,例如团购程序漏洞、跨站脚本漏洞、CRLF注入HTTP响应拆 分漏洞等。我们知道,团购商品包括许多本地化的消费,例如餐饮、电影票等,只需凭团购券号即可消费,这些消费凭据泄露的可能性也同样存在。
(二)团购内容被篡改
在热衷于攻击网站的黑客群体中,部分黑客习惯篡改网页,留下入侵标识进行炫耀。在搜索引擎搜索hacked by ,仅中文网页的搜索结果就有数十万条。
对于团购网站来说,如果网页被黑客篡改,其结果将严重影响用户对交易安全的信任感,造成客户流失;此外,团购网站页面内容和业务关联紧密,如果商品页面信息、甚至商品价格被他人恶意篡改,比如价值100元的商品被黑客恶作剧式修改为1元,可想而知将会造成巨大的经济损失。
在不同类型网站漏洞中,黑客利用SQL注入漏洞、团购程序漏洞、目录的写权限启用、PUT方法启用等多种漏洞或不同漏洞的组合攻击,都可能造成团购网站内容被篡改的后果。
(三)团购网站被利用钓鱼或被恶意控制
在利用团购网站漏洞的钓鱼攻击中,跨站脚本漏洞和CRLF注入HTTP响应拆分漏洞非常典型。举例说明:
某天你在泡论坛,看到有篇帖子推荐了一款团购商品,价格令人动心,而且网址域名是你熟悉的一家团购网站。当你点击链接打开网页,网页表面看起来也和 你熟悉的那家团购网站一模一样。请注意,这时页面可能已经执行了恶意脚本,在你面前打开的是黑客仿冒构造的一个钓鱼页面(跨站脚本漏洞);或者,网址悄然 重定向跳转到钓鱼网站上,让你不知不觉间就从A网站来到黑客的B网站(CRLF注入HTTP响应拆分漏洞)。
如果通过此类钓鱼页面进行支付交易,交易资金很可能被黑客劫持,甚至网银、网上支付的账户密码也被黑客窃取。
另外,曾有技术人员曝光称,某团购网站的VIP会员活动、砸金蛋活动,甚至账户余额充值多次出现程序的用户交互漏洞,可以绕过权限验证随意领红包、无限砸金蛋和充值。与此相比,黑客利用网站漏洞实施渗透控制的后果更为严重。
例如,当团购网站服务器被黑客利用漏洞植入脚本后门,黑客可获得控制网站的权限,更进一步还可获得网站服务器系统的高级权限。这意味着,团购网站的各种交易、活动均可能被他人暗中操纵,而不仅仅是领红包、砸金蛋或账户充值,团购网站的所有资料、数据也可能被随时摧毁。
第三章 提高团购网站安全性的解决方案
对团购网站等电子商务平台而言,网站安全是一个综合性多元化问题,包括系统安全、数据安全、交易平台安全等,全方位解决安全问题需要完善的管理机制和专业技术保障。360网站安全检测平台建议,团购网站应该从以下三个方面提升网站的安全性:
(一)强化网站安全意识
1.由专业技术人员进行安全维护
安全对电子商务运营的重要性不言而喻,有些团购网站的WEB程序是外包开发的,而且网站程序的开发人员没有安全编程经验,极易造成各种漏洞。
2.及时为服务器操作系统和网站程序打好补丁
有些网站使用版本陈旧的程序,服务器操作系统也不注意更新补丁,存在大量广为人知的漏洞,当然会轻易被黑客利用入侵,成为傀儡主机。
3.严谨的测试流程
在任何网站应用上线前,都应从安全角度进行测试,去除不必要的风险因素。在用户交互环节,更应注意控制权限,过滤可能出现的威胁。
(二)定期进行网站安全检测
一些网站管理者认为,“在网络中不断部署防火墙、入侵检测系统、入侵防御系统等设备,就可以提高网络的安全性”。其实这样的认识存在误区,根本原因在于,传统的网络安全设备难以抵御应用层的攻击,最有效的网站安全解决方案是修复漏洞。
在网站安全检测方面,360网站安全检测平台提供了集“漏洞检测”、“挂马检测”和“篡改检测”于一体的一站式免费服务平台,拥有国内最全的网站漏洞检测库及强大的蜜罐集群检测系统,并可在第一时间为高危0day漏洞提供修复建议。
(三)实时监控网站安全状况
网站被挂马或篡改,不仅会降低用户对其的信任度,更严重危害网络安全或造成不良影响。此外,360网站安全检测平台提供了实时的挂马监控和篡改监控功能,一旦发现网站被挂马或被篡改,能够自动以邮件等方式通知站长,将网站蒙受损失的风险降到最低。