近日，網(wǎng)站安全專家安全寶發(fā)布了《2012年網(wǎng)站安全統(tǒng)計(jì)報(bào)告》。報(bào)告指出，2012年度受?chē)?guó)內(nèi)用戶熱捧的開(kāi)源程序頻頻爆出高危漏洞，電子商務(wù)網(wǎng)站成為重點(diǎn)攻擊對(duì)象，大量網(wǎng)民信息遭受泄露威脅。在嚴(yán)峻的安全形勢(shì)下，安全寶建議Web網(wǎng)站用戶加強(qiáng)安全防護(hù)手段，避免被攻擊者乘虛而入。

安全寶報(bào)告指出：自從Web2.0問(wèn)世以來(lái)，Web產(chǎn)品逐漸走向開(kāi)源化，然而，在低成本的背后卻引發(fā)了越來(lái)越多針對(duì)這些開(kāi)源程序進(jìn)行的惡意攻擊。因此，通過(guò)數(shù)據(jù)分析來(lái)深入揭示W(wǎng)eb安全威脅的新特點(diǎn)，把握Web安全市場(chǎng)發(fā)展的新趨勢(shì)就變得非常必要。安全寶作為國(guó)內(nèi)第一家采用零部署的云計(jì)算技術(shù)一站式解決各種安全問(wèn)題的高科技企業(yè)，通過(guò)使用指紋識(shí)別技術(shù)，可以精確的分析這些數(shù)據(jù)背后所展現(xiàn)的Web漏洞攻擊趨勢(shì)。

安全寶發(fā)現(xiàn)，Web漏洞在2012年呈現(xiàn)出以下三點(diǎn)特征：

一、遭受攻擊最多的程序?yàn)閐edecms

從受攻擊網(wǎng)站類型分析，遭受攻擊最多的程序?yàn)閐edecms，其主要存在“dedecms search.php文件注入”與“dedecms ajax_membergroup注入”這兩種漏洞，兩者占總體攻擊數(shù)量比例為24.78%，涉及網(wǎng)站比例則高達(dá)77.91%。

安全寶報(bào)告指： dedecms之所以成為黑客攻擊的眾矢之的，一方面是因?yàn)閐edecms是知名的PHP網(wǎng)站管理系統(tǒng)之一，使用人數(shù)廣泛，這吸引了眾多網(wǎng)絡(luò)攻擊者的注意;另一方面，dedecms是一個(gè)開(kāi)源系統(tǒng)，不但很多源碼直接暴露在網(wǎng)絡(luò)攻擊者面前，而且其程序漏洞在眾多網(wǎng)站中保持著相當(dāng)高的一致性，這就大幅降低了網(wǎng)絡(luò)攻擊的難度。

二、SQL注入與XSS跨站腳本攻擊占據(jù)半壁江山

在近兩年，雖然SQL注入攻擊有所減少，但是依然是Web程序的一個(gè)主要威脅。從數(shù)據(jù)中我們可以看出，在攻擊方式中，SQL注入以36.5%的比例位居榜首。黑客通過(guò)SQL注入攻擊，可以操控?cái)?shù)據(jù)庫(kù)、篡改數(shù)據(jù)，甚至進(jìn)一步入侵服務(wù)器，危害較大。

其次是任意文件讀取和跨站腳本攻擊，任意文件讀取是指黑客通過(guò)目錄跳轉(zhuǎn)，查看文件內(nèi)容?？缯灸_本攻擊也叫XSS，黑客通過(guò)XSS攻擊可以盜取用戶賬號(hào)信息，網(wǎng)站掛馬操作等，XSS攻擊在owasp top10中位居第二的位置也說(shuō)明了其危害性不容小視。

三、電子商務(wù)網(wǎng)站安全性薄弱，成為攻擊重點(diǎn)的對(duì)像

從2012年熱點(diǎn)漏洞攻擊次數(shù)TOP10統(tǒng)計(jì)數(shù)據(jù)來(lái)看，排名第一的“淘寶客7.4 huangou.php注入漏洞”以及排名第四的“shopxp TEXTBOX2.ASP注入”漏洞都針對(duì)的是電子商務(wù)中的商城程序。而從部分電商的漏洞分析數(shù)據(jù)中，我們也可以看出，高危、中危漏洞分布廣泛，這凸顯了電子商務(wù)網(wǎng)站所面臨的安全困境。

安全寶報(bào)告指出，電子商務(wù)網(wǎng)站的安全之所以薄弱，是因?yàn)橹行⌒碗娮由虅?wù)網(wǎng)站參與者眾多，既缺乏安全編程的開(kāi)發(fā)經(jīng)驗(yàn)，也缺少相關(guān)投入的資金支持。而且，電子商務(wù)網(wǎng)站普遍存在重內(nèi)容輕安全建設(shè)與安全管理的問(wèn)題，很多網(wǎng)站用通用模板進(jìn)二次開(kāi)發(fā)，存在很多已知漏洞和安全隱患。

此外，安全寶還監(jiān)測(cè)到以下一些攻擊，其攻擊手法、地理特征和修復(fù)難題或?qū)⒊蔀?013年網(wǎng)站用戶的防御重點(diǎn)：

1、 遠(yuǎn)程拒絕服務(wù)類攻擊大量上升

DDoS是最常見(jiàn)的攻擊手法，而且更直接、更有效。隨著網(wǎng)絡(luò)帶寬的應(yīng)用發(fā)展，幾臺(tái)傀儡PC主機(jī)就可以通過(guò)CC攻擊完成對(duì)中小型網(wǎng)站的攻擊。

2、 中國(guó)境內(nèi)近一半 DDoS 攻擊的受害者位于北上廣地區(qū)

安全寶處理過(guò)的DDoS流量攻擊在地域上基本覆蓋了互聯(lián)網(wǎng)全部產(chǎn)業(yè)較發(fā)達(dá)的地區(qū)，其中近一半受害者來(lái)自互聯(lián)網(wǎng)產(chǎn)業(yè)比較發(fā)達(dá)的北、上、廣地區(qū)?；ヂ?lián)網(wǎng)行業(yè)的殘酷競(jìng)爭(zhēng)是這些地區(qū)DDoS流量攻擊高發(fā)的直接誘因。

3、 大部分網(wǎng)站發(fā)現(xiàn)漏洞或被入侵后難以自我修補(bǔ)

隨著新漏洞不斷涌現(xiàn)，新的自動(dòng)化攻擊方法不斷發(fā)展，Web應(yīng)用漏洞的威脅越來(lái)越大。而中小型網(wǎng)站在安全技術(shù)、知識(shí)、經(jīng)驗(yàn)等方面的儲(chǔ)備都非常有限，很難在發(fā)現(xiàn)Web應(yīng)用漏洞時(shí)采取有效的防范措施。

安全寶希望通過(guò)一系列的權(quán)威安全數(shù)據(jù)和曝光漏洞引起網(wǎng)站用戶的高度注意，同時(shí)也建議用戶尋求專業(yè)的網(wǎng)站安全公司共同御敵，并使用安全寶網(wǎng)站安全系統(tǒng)等優(yōu)秀的網(wǎng)站安全防護(hù)系統(tǒng)來(lái)應(yīng)對(duì)漏洞的威脅。安全寶網(wǎng)站系統(tǒng)采用了領(lǐng)先的零部署、零維護(hù)云計(jì)算技術(shù)技術(shù)，可以使用“替身系統(tǒng)”周全的保護(hù)用戶的原始服務(wù)器，關(guān)閉因?yàn)閃eb漏洞敞開(kāi)的入侵大門(mén)。