2016年中国网站安全漏洞分析报

2016年 中国网站安全漏洞形势分析报告 2017年1月5日 摘 要 网站扫描漏洞分析  2016年全年（截至11月15日），奇安信网站安全检测平台共扫描各类网站197.9万个，其中，存在漏洞的网站91.7万个，占比为46.3%；存在高危漏洞的网站14.0万个（全年去重），占扫描网站总数的7.1%。  从检测出漏洞的危险等级来看，高危漏洞数量占26.4%，中危占10.4%，低危占63.2%。  奇安信网站安全检测平台全年共扫描发现网站高危漏洞480.8万次，较2015年267.7万次大幅增长80%，平均每月扫出高危漏洞约45.8万次；平均每天扫出高危漏洞约1.5万次。3月份是扫出高危漏洞最多的月份，数量达到103.4万次。  应用程序错误信息（24.4%）、异常页面导致服务器路径泄露（11.8%）和跨站脚本攻击漏洞（16.0%）这三类是占比最高的网站安全漏洞，之和超过总次数的60%。 人工挖掘漏洞分析  2016年1月1日-11月15日，补天平台公有SRC共收录各类网站安全漏洞32277个，私有SRC（含众测）收录漏洞4911个，总共漏洞数为37188个；从涉及web站点看，补天平台收录的漏洞涉及网站（按域名统计）共30329个。  2016年被报告漏洞的备案网站中，有24.2%的网站已加入补天，75.8%的网站未加入。  2016年补天平台收录的漏洞中，备案网站的漏洞有23982个，占比为74.3%，未备案或备案已过期的网站漏洞有8295个，占比为25.7%。从网站角度看，备案网站有22929个，占比为75.6%，未备案或备案已过期的网站占比为24.4%。  2016年补天平台收录的网站漏洞中，通用型漏洞占比为6.1%，相比2015年的（13.7%）有所下降。高危漏洞占50.6%，中危漏洞占35.4%，低危漏洞占14.0%。  从漏洞性质看，在备案的网站中，通用型漏洞比例很低，仅为0.2%，绝大多数漏洞（99.8%）为事件型漏洞。相比而言，没有备案的网站存在的漏洞中，通用型漏洞比例19.7%，事件型漏洞比例为80.3%。  从补天平台收录漏洞的具体类型来看，SQL注入漏洞最多，占比为44.9%，其次是命令执行和弱口令，分别占14.0%和11.7%。  对2016年补天平台的备案网站漏洞的抽样调查显示，平均漏洞修复率仅为42.9%。  根据厂商明确标记已修复的网站漏洞中，1天内修复的比例为7.5%，一周以内修复的比例为27.4%，一个月内修复的比例为33.3%，超过30天才修复为31.8%。 网站漏洞攻击分析  2016年（截至11月15日），奇安信网站卫士共拦截各类网站漏洞攻击17.1亿次，较2015年16.5亿次，增长了约3.7%。  截止到2016年11月15日，2016年平均每天拦截漏洞攻击534.4万次。5、6月和7月是攻击量最大的三个月。  截至到2016年11月15日，全年遭受到漏洞网站共计63.6万个（全年去重），占奇安信网站卫士覆盖总量（163.6万）的38.9%。平均每月有14.3万个网站遭遇各类漏洞攻击，与2015年平均每月17.1万个相比下降了16.4%。  66.9%受害者IP为境内地区。其中，34.2%来自北京，居于首位，其次分别为浙江（24.8%）、四川（11.4%）、广东（5.6%）、江苏（4.7%）等。  33.1%受害者IP为境外地区。其中，72.5%的受害者来自加拿大，排在第一位，其次是美国（25.6%）、韩国（0.7%）、罗马利亚（0.2%）、日本（0.1%）等。  2016年遭到漏洞攻击的十大城市，北京遭到攻击的IP最多，高达1.2亿次，居于全国首位；其次是成都、上海、南京、郑州、广州、杭州、合肥、深圳和福州。  从发起漏洞攻击IP的地域分布来看，76.6%攻击者IP来自境内地区。其中，39.7%来自江苏，居于首位；其次分别为北京（30.6%）、河南（12.5%）、浙江（2.1%）、上海（2.0%）、广东（1.8%）等。  23.4%攻击者IP来自境外地区。其中，44.6%来自俄罗斯，其次是美国（33.9%）、加拿大（7.5%）等。  2016年发起漏洞攻击最多的十大城市。从南京发起漏洞攻击的IP最多，高达5.0亿次，居于全国首位；其次是北京（3.89亿次）、郑州（1.59亿次）、上海、武汉、杭州、合肥、天津、福州和南昌。  一周之内漏洞攻击的分布统计，星期四是一周中漏洞攻击最为集中的一天，占总攻击量中的15.5%，而周六的攻击量则相对最少，仅占总攻击量的13.7%。  一天之内漏洞攻击的分布统计，漏洞攻击多集中于下午15-17点之间，在16点达到最高峰，而早上5-8点是漏洞攻击比较稀少的时段，凌晨8点最为安全。 网站安全漏洞行业分析  2016年（截止11月15日）补天平台收录的不同备案网站的漏洞总量为23982个（共涉及22929个网站），其中高危漏洞为10719个。  补天平台收录的备案网站漏洞中，企业网站的漏洞数量是最多的，占比为50.3%，事业单位网站为24.7%，政府机关网站为16.0%，个人网站为6.6%，社会团体网站为2.5%。  从高危漏洞网站来看，社会团体网站高危漏洞占比最多，为47.5%，企业网站为47.3%，事业单位网站为43.3%，政府机关网站为41.7%，个人网站为36.4%。  政府机关网站的漏洞修复率是最高的，占比为77.1%，其次事业单位网站为68.1%，企业网站为45.5%，个人网站为40.1%，社会团体网站为38.3%。从高危漏洞修复率来看， 政府机关网站同样是修复最高的。  在所有企业、个人备案的网站中，统计显示，IT/互联网行业网站被报告的漏洞最多，占比为23.5%。  从高危漏洞网站来看，电信运营商网站高危漏洞占比最多，为56.0%，生产制造为54.4%。游戏类网站排名第三。占比为51.0%。  电信运营商网站的漏洞修复率是最高的，占比为83.5%；其次是金融网站为81.3%，汽车交通网站为58.0%，媒体网站为57.8%。  从高危漏洞修复率来看，金融网站修复率是最高的，占比为83.3%，其次电信运营商网站75.6%，汽车交通网站70.2%。 白帽子与漏洞奖励  2016年（截止11月15日），共有2362名白帽子向补天平台提交有效漏洞37188个（其中公有SRC收录32277个，私有SRC收录4911个）。  2362名白帽子获得奖金420.3万元，其中通用型漏洞占比为16.7%，事件型漏洞83.3%。  2016年获补天平台奖金最多的三位白帽子分别是carry_your、system_gov和hckmaple，三人各自获得的奖金皆超过20万。  从报给补天平台并被收录的漏洞总数来看，挖洞最多的是hckmaple，共贡献1136个漏洞，平均每天挖洞3.6个，堪称“挖洞”劳模。  2016年（截止到11月15日），共有119名女性白帽子提交漏洞，占比为10.2%，相比2015年的2.8%，有较大幅度提升。  从获得奖金额度占比方面来看，男性白帽子占据绝对优势，达到98.5%，女性白帽子获得奖金额度占比仅为1.5%，不过，和2015年（1.1%）相比略有上升。  从白帽子的注册信息来看，在2016年向补天平台提交漏洞的白帽子中，年龄最小的14岁，年龄最大的66岁。其中，19岁-24岁之间的白帽子数量最多，约占总数的50%。  从年龄段来看，年轻的“90后”目前仍然是白帽子的绝对主力，占白帽子总量的70.7%，“80后”次之，占19.3%。相比2015年“00后”白帽子仅占0.9%，2016年约有2.6%的白帽子是16岁及以下的青少年，比例和数量都大为提高。 关键词： 网站安全、漏洞、补天、检测 4 目 录 第一章 网站扫描漏洞分析 ............................................................................................................ 1 一、 扫描网站介绍 .................................................................................................................... 1 二、 漏洞数量 ........................................................................................................................... 2 三、 漏洞类型分析 .................................................................................................................... 4 第二章 人工挖掘漏洞分析 ............................................................................................................ 5 一、 漏洞数量 ........................................................................................................................... 5 二、 漏洞类型分析 .................................................................................................................... 6 三、 漏洞修复情况 .................................................................................................................... 8 四、 漏洞修复率低的原因分析 ................................................................................................. 9 第三章 网站漏洞攻击分析 .......................................................................................................... 10 一、 漏洞攻击数量统计 .......................................................................................................... 10 二、 漏洞攻击类型分析 .......................................................................................................... 11 三、 漏洞攻击地域分析 .......................................................................................................... 12 四、 漏洞攻击时域分析 ............................................................