新闻链接：52fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3S2^5z5e0g2Q4x3X3g2U0L8$3#2Q4x3V1k6z5k6i4N6K6i4K6u0r3d9r3q4U0K9#2)9J5c8U0t1H3x3e0f1H3x3g2)9J5c8U0R3@1z5o6M7%4i4K6u0W2K9s2c8E0L8l9`.`.
新闻时间:2015-01-18
新闻正文：　中国经济网北京1月9日讯 日前，国内最大的互联网安全公司360（NYSE:QIHU）发布了《2014年中国网站安全报告》（以下简称《报告》），《报告》指出，2014年，网络安全问题呈现网站漏洞大规模爆发、大量隐私泄露等重大安全事件高发和网站攻击开始规模化、产业化等显著特点。预计2015年，网站攻击与漏洞利用将更加规模化，安全形势不容乐观。
　　存在后门的网站数量大幅攀升
　　《报告》披露，目前有漏洞和高危漏洞的网站比例较2013年大幅下降，但网站存在后门的比例和绝对数量却大幅攀升。2014年全年，360网站安全检测共对覆盖网站199.6万个的8409台网站服务器进行了网站后门检测，发现约3465台服务器存在后门，占比41.2%，比2013年增多了7.4个百分点。

　　图1:2013年、2014年服务器被植入后门状况对比
　　后门是一段恶意代码，攻击者通过植入这段精心设计的代码来控制网站，同时，还可以获得某些敏感的信息，进一步获得服务器的控制权限。后门一般具有很强的隐蔽性，从而来达到长期控制网站的目的。
　　无论是网站服务器后门还是网站漏洞，都极易被黑客所利用。这些漏洞或被黑客利用于盗取银行卡账号密码，或者通过漏洞植入木马进行破坏。此前有媒体报道称，大量12306网站用户信息遭泄露，即是网站漏洞所致；而另有媒体报道称，网管员王某利用263企业邮箱服务器的漏洞，登录管理员账号，导出1.6万余组企业通讯录，则是服务器漏洞被利用。
　　电商类网站安全形势堪忧
　　《报告》显示，2014年全年，360网站安全检测平台（4f9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6W2j5Y4y4U0j5h3&6Q4x3X3f1K6y4U0m8Q4x3X3g2U0L8W2!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4g2)9^5y4g2!0n7x3g2!0q4y4W2)9^5z5g2!0m8b7W2!0q4y4W2)9^5c8W2)9^5c8W2!0q4y4g2)9&6x3q4)9^5y4q4!0q4y4#2!0n7x3g2!0n7b7W2!0q4y4#2!0n7c8q4)9&6x3g2!0q4y4#2!0m8b7W2)9&6z5e0p5$3y4q4)9J5k6e0u0Q4c8e0c8Q4b7U0S2Q4z5o6N6Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5o6g2Q4b7U0k6Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8e0g2Q4b7f1c8Q4z5e0S2Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0k6Q4b7V1y4Q4z5p5k6Q4c8e0k6Q4b7U0c8Q4z5f1g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7f1u0Q4z5e0V1$3x3g2)9J5k6e0N6Q4c8e0c8Q4b7U0S2Q4z5o6N6Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5p5c8Q4b7e0m8Q4c8e0k6Q4z5o6W2Q4b7f1u0Q4c8e0k6Q4z5p5k6Q4z5p5k6Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7f1u0Q4z5e0W2Q4c8e0k6Q4z5o6m8Q4b7V1u0Q4c8e0k6Q4z5e0g2Q4b7U0m8Q4c8e0N6Q4z5f1q4Q4z5o6b7K6y4#2)9J5k6e0k6Q4x3U0g2Q4c8f1k6Q4b7V1y4Q4z5f1u0Q4c8e0g2Q4b7f1c8Q4z5e0S2Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0W2Q4b7f1u0Q4z5e0S2Q4c8e0g2Q4z5p5c8Q4b7U0q4Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0k6Q4b7V1y4Q4z5p5k6Q4c8e0k6Q4b7U0c8Q4z5f1g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7f1u0Q4z5e0W2Q4c8e0g2Q4z5o6g2Q4b7U0p5J5y4#2)9J5k6e0W2Q4c8e0c8Q4b7U0S2Q4z5o6N6Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5p5c8Q4b7e0m8Q4c8e0k6Q4z5o6W2Q4b7f1u0Q4c8e0k6Q4z5p5k6Q4z5p5k6Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7f1u0Q4z5e0W2Q4c8e0k6Q4z5o6m8Q4b7V1u0Q4c8e0k6Q4z5e0g2Q4b7U0m8Q4c8e0N6Q4z5f1q4Q4z5o6b7I4y4#2)9J5k6e0m8Q4x3U0g2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0k6Q4b7V1y4Q4z5p5k6Q4c8e0k6Q4b7U0c8Q4z5f1g2Q4c8e0g2Q4z5e0u0Q4z5p5y4Q4c8e0k6Q4z5f1y4Q4z5o6W2Q4c8e0W2Q4b7f1u0Q4z5e0S2Q4c8e0g2Q4z5p5c8Q4b7U0q4Q4c8e0k6Q4b7V1y4Q4z5p5k6Q4c8e0k6Q4b7U0c8Q4z5f1g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0N6Q4b7f1u0Q4z5e0W2Q4c8e0k6Q4b7f1k6Q4z5e0c8Q4c8e0c8Q4b7V1g2Q4z5p5u0Q4c8e0W2Q4z5o6y4Q4b7V1c8Q4c8e0S2Q4b7V1g2Q4z5o6x3J5x3o6p5K6i4@1f1#2i4@1t1&6i4@1t1@1i4@1f1#2i4@1p5@1i4@1p5%4i4@1f1#2i4@1t1&6i4K6R3#2i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1&6i4K6V1&6i4K6S2p5i4@1f1K6i4K6R3H3i4K6R3J5

　　图2：电商类网站高危漏洞最多
　　分行业看，电子商务类网站存在高危漏洞的比例最高，达到26%；其次为生活信息类（24%）、医疗卫生类（22%）和企业公司类（21%）。银行类网站相对安全性较高，存在高危漏洞比例最低。
　　相较于2013年，电子商务类网站虽然有高危漏洞的网站比例下降了3个百分点，但排名却从第四名跃升为第一名，安全性在各行业网站中最为堪忧。
　　由于电商网站自身的特殊性，电商网站服务器中保有大量用户个人信息和财务信息，因此电商网站安全漏洞危害极大，一旦被犯罪分子利用，将给网站本身和网站用户乃至互联网安全带来极大的危害。不法分子利用电商网站的漏洞通常会篡改网站内容，利用支付链接URL跳转对消费者进行钓鱼等；盗取用户账户，进行恶意消费；盗取电商网站数据库，用于诈骗等违法行为。
　　从各个行业网站安全漏洞修复周期来看，音乐影视类、政务网站漏洞平均修复周期最长，分别为97天和86天，对网站安全意识有待提高；而游戏网站、医疗卫生类网站修复漏洞平均周期较短，分别为65天和66天，此几类网站修复漏洞所需时间要比音乐影视类网站少一个月左右。
　　全球十大网站安全事件四起发生在中国
　　《报告》总结了2014年全球范围内的十起网站安全事件，包括“OpenSSL心脏出血漏洞”、“eBay数据泄漏”、“索尼被黑客攻击”等，在去年的网站安全事件中，有四起发生在中国。
　　据了解，“121中国互联网DNS大劫难”、“携程漏洞事件”、“中国快递1400万信息泄露”、“12306用户数据泄露”这四起网站安全事件在全社会造成了巨大影响。
　　《报告》认为，根据去年发生的多起网站安全事件来看，网站攻击与漏洞利用正在向批量化，规模化方向发展，主要表现在以下五个方面：撞库攻击越演越烈、全网知识库大大丰富、建站系统漏洞被广泛利用、新漏洞发现与利用的速度越来越快、第三方代码托管平台被攻击。
　　针对网站安全事件频发的现象，《报告》专门针对发起攻击的地域做了研究。研究发现，91.4%的攻击者IP来自境内，来自境外的攻击仅为8.6%。其中，境内攻击主要来自北京（32.9%）、江苏（13.9%）、浙江（11.4%）、山东（10.0%）、广东（7.40%）。

　　图3：发起网站漏洞攻击的地域分布
　　值得一提的是，2014年，360补天平台共收录2490名“白帽子”提交的有效0day漏洞24724个，平均每个月收录有效的0day漏洞2060个，平均每天收录有效0day漏洞70个。
　　补天平台是360互联网安全中心推出的 国内首个现金奖励漏洞平台，旨在建立企业与白帽子之间的桥梁，帮助企业建立SRC(安全应急响应中心)。
　　据悉，曾发生用户数据泄漏的12306等网站均已加入360补天平台以获得查补网站漏洞的技术协助。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！