近日,網(wǎng)站安全專家安全寶發(fā)布了《2012年網(wǎng)站安全統(tǒng)計報告》�。報告指出,2012年度受國內用戶熱捧的開源程序頻頻爆出高危漏洞��,電子商務網(wǎng)站成為重點攻擊對象�,大量網(wǎng)民信息遭受泄露威脅。在嚴峻的安全形勢下��,安全寶建議Web網(wǎng)站用戶加強安全防護手段���,避免被攻擊者乘虛而入�。
安全寶報告指出:自從Web2.0問世以來����,Web產品逐漸走向開源化,然而�����,在低成本的背后卻引發(fā)了越來越多針對這些開源程序進行的惡意攻擊�����。因此��,通過數(shù)據(jù)分析來深入揭示W(wǎng)eb安全威脅的新特點����,把握Web安全市場發(fā)展的新趨勢就變得非常必要。安全寶作為國內第一家采用零部署的云計算技術一站式解決各種安全問題的高科技企業(yè)���,通過使用指紋識別技術�����,可以精確的分析這些數(shù)據(jù)背后所展現(xiàn)的Web漏洞攻擊趨勢����。
從受攻擊網(wǎng)站類型分析��,遭受攻擊最多的程序為dedecms�,其主要存在“dedecms search.php文件注入”與“dedecms ajax_membergroup注入”這兩種漏洞�,兩者占總體攻擊數(shù)量比例為24.78%���,涉及網(wǎng)站比例則高達77.91%���。
安全寶報告指: dedecms之所以成為黑客攻擊的眾矢之的,一方面是因為dedecms是知名的PHP網(wǎng)站管理系統(tǒng)之一�����,使用人數(shù)廣泛�����,這吸引了眾多網(wǎng)絡攻擊者的注意;另一方面�,dedecms是一個開源系統(tǒng),不但很多源碼直接暴露在網(wǎng)絡攻擊者面前���,而且其程序漏洞在眾多網(wǎng)站中保持著相當高的一致性�����,這就大幅降低了網(wǎng)絡攻擊的難度�。
二���、SQL注入與XSS跨站腳本攻擊占據(jù)半壁江山
在近兩年�����,雖然SQL注入攻擊有所減少���,但是依然是Web程序的一個主要威脅。從數(shù)據(jù)中我們可以看出�,在攻擊方式中,SQL注入以36.5%的比例位居榜首���。黑客通過SQL注入攻擊����,可以操控數(shù)據(jù)庫�、篡改數(shù)據(jù),甚至進一步入侵服務器�,危害較大。
其次是任意文件讀取和跨站腳本攻擊�,任意文件讀取是指黑客通過目錄跳轉,查看文件內容���������?缯灸_本攻擊也叫XSS�,黑客通過XSS攻擊可以盜取用戶賬號信息�����,網(wǎng)站掛馬操作等����,XSS攻擊在owasp top10中位居第二的位置也說明了其危害性不容小視。
三��、電子商務網(wǎng)站安全性薄弱����,成為攻擊重點的對像
從2012年熱點漏洞攻擊次數(shù)TOP10統(tǒng)計數(shù)據(jù)來看,排名第一的“淘寶客7.4 huangou.php注入漏洞”以及排名第四的“shopxp TEXTBOX2.ASP注入”漏洞都針對的是電子商務中的商城程序����。而從部分電商的漏洞分析數(shù)據(jù)中,我們也可以看出�,高危、中危漏洞分布廣泛����,這凸顯了電子商務網(wǎng)站所面臨的安全困境�����。
安全寶報告指出���,電子商務網(wǎng)站的安全之所以薄弱���,是因為中小型電子商務網(wǎng)站參與者眾多���,既缺乏安全編程的開發(fā)經(jīng)驗,也缺少相關投入的資金支持����。而且,電子商務網(wǎng)站普遍存在重內容輕安全建設與安全管理的問題��,很多網(wǎng)站用通用模板進二次開發(fā)�,存在很多已知漏洞和安全隱患。
此外����,安全寶還監(jiān)測到以下一些攻擊����,其攻擊手法�����、地理特征和修復難題或將成為2013年網(wǎng)站用戶的防御重點:
1����、 遠程拒絕服務類攻擊大量上升
DDoS是最常見的攻擊手法,而且更直接�、更有效。隨著網(wǎng)絡帶寬的應用發(fā)展�,幾臺傀儡PC主機就可以通過CC攻擊完成對中小型網(wǎng)站的攻擊。
2����、 中國境內近一半 DDoS 攻擊的受害者位于北上廣地區(qū)
安全寶處理過的DDoS流量攻擊在地域上基本覆蓋了互聯(lián)網(wǎng)全部產業(yè)較發(fā)達的地區(qū),其中近一半受害者來自互聯(lián)網(wǎng)產業(yè)比較發(fā)達的北���、上�、廣地區(qū)�����;ヂ(lián)網(wǎng)行業(yè)的殘酷競爭是這些地區(qū)DDoS流量攻擊高發(fā)的直接誘因����。
3、 大部分網(wǎng)站發(fā)現(xiàn)漏洞或被入侵后難以自我修補
隨著新漏洞不斷涌現(xiàn)�,新的自動化攻擊方法不斷發(fā)展,Web應用漏洞的威脅越來越大�。而中小型網(wǎng)站在安全技術、知識����、經(jīng)驗等方面的儲備都非常有限��,很難在發(fā)現(xiàn)Web應用漏洞時采取有效的防范措施����。
安全寶希望通過一系列的權威安全數(shù)據(jù)和曝光漏洞引起網(wǎng)站用戶的高度注意,同時也建議用戶尋求專業(yè)的網(wǎng)站安全公司共同御敵���,并使用安全寶網(wǎng)站安全系統(tǒng)等優(yōu)秀的網(wǎng)站安全防護系統(tǒng)來應對漏洞的威脅�。安全寶網(wǎng)站系統(tǒng)采用了領先的零部署�����、零維護云計算技術技術,可以使用“替身系統(tǒng)”周全的保護用戶的原始服務器��,關閉因為Web漏洞敞開的入侵大門���。
