圖1：電商類網(wǎng)站高危漏洞最多

圖2-圖3：2013年、2014年服務(wù)器被植入后門情況對比

本報記者 武曉莉

日前，互聯(lián)網(wǎng)安全公司360發(fā)布了《2014年中國網(wǎng)站安全報告》（以下簡稱《報告》）?！秷蟾妗分赋觯?014年，網(wǎng)絡(luò)安全問題呈現(xiàn)網(wǎng)站漏洞大規(guī)模爆發(fā)、大量隱私泄露等重大安全事件高發(fā)，以及網(wǎng)站攻擊開始規(guī)?；?、產(chǎn)業(yè)化等顯著特點，安全形勢不容樂觀。

存在后門網(wǎng)站的數(shù)量大幅攀升《報告》稱，目前有漏洞和高危漏洞的網(wǎng)站比例較2013年大幅下降，但網(wǎng)站存在后門的比例和絕對數(shù)量卻大幅攀升。2014年全年，360網(wǎng)站安全檢測共對覆蓋網(wǎng)站199.6萬個的8409臺網(wǎng)站服務(wù)器進行了網(wǎng)站后門檢測，發(fā)現(xiàn)約3465臺服務(wù)器存在后門，占比41.2%，比2013年增多了7.4個百分點。

后門是一段惡意代碼，攻擊者通過植入這段精心設(shè)計的代碼來控制網(wǎng)站，同時，還可以獲得某些敏感的信息，進一步獲得服務(wù)器的控制權(quán)限。后門一般具有很強的隱蔽性，從而來達到長期控制網(wǎng)站的目的。

無論是網(wǎng)站服務(wù)器后門還是網(wǎng)站漏洞，都極易被黑客所利用。這些漏洞或被黑客用于盜取銀行卡賬號密碼，或者通過漏洞植入木馬進行破壞。此前有媒體報道稱，大量12306網(wǎng)站用戶信息遭泄露，即是網(wǎng)站漏洞所致。

電商類網(wǎng)站安全形勢堪憂

《報告》顯示，2014年全年網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站164.2萬個，其中存在安全漏洞的網(wǎng)站61.7萬個，占37.6%；存在高危安全漏洞的網(wǎng)站共27.9萬個，占17.0%。有漏洞和有高危漏洞的網(wǎng)站比例都較2013年大幅下降。

從行業(yè)來看，電子商務(wù)類網(wǎng)站存在高危漏洞的比例最高，達到26%；其次為生活信息類（24%）、醫(yī)療衛(wèi)生類（22%）和企業(yè)公司類（21%）。銀行類網(wǎng)站安全性相對較高，存在高危漏洞比例最低。

相較于2013年，電子商務(wù)類網(wǎng)站雖然有高危漏洞的網(wǎng)站比例下降了3個百分點，但排名卻從第四名躍升為第一名，安全性在各行業(yè)網(wǎng)站中最為堪憂。

由于電商網(wǎng)站自身的特殊性，電商網(wǎng)站服務(wù)器中保有大量用戶個人信息和財務(wù)信息，因此電商網(wǎng)站安全漏洞危害極大，一旦被不法分子利用，將給網(wǎng)站本身和網(wǎng)站用戶乃至互聯(lián)網(wǎng)安全帶來極大的危害。不法分子利用電商網(wǎng)站的漏洞通常會篡改網(wǎng)站內(nèi)容，利用支付鏈接URL跳轉(zhuǎn)對消費者進行釣魚等；盜取用戶賬戶，進行惡意消費；盜取電商網(wǎng)站數(shù)據(jù)庫，用于詐騙等違法行為。

十大安全事件四起在我國

《報告》總結(jié)了2014年全球范圍內(nèi)的十起網(wǎng)站安全事件，包括“OpenSSL心臟出血漏洞”、“eBay數(shù)據(jù)泄漏”、“索尼被黑客攻擊”等，其中有四起發(fā)生在我國。它們分別是：“121中國互聯(lián)網(wǎng)DNS大劫難”、“攜程漏洞事件”、“中國快遞1400萬信息泄露”、“12306用戶數(shù)據(jù)泄露”，這四起網(wǎng)站安全事件在全社會造成了很大影響。

從去年發(fā)生的多起網(wǎng)站安全事件來看，網(wǎng)站攻擊與漏洞利用正在向批量化、規(guī)?；较虬l(fā)展，主要表現(xiàn)在以下五個方面：撞庫攻擊愈演愈烈、全網(wǎng)知識庫大大豐富、建站系統(tǒng)漏洞被廣泛利用、新漏洞發(fā)現(xiàn)與利用的速度越來越快、第三方代碼托管平臺被攻擊。

研究發(fā)現(xiàn)，91.4%的攻擊者IP來自境內(nèi)，來自境外的攻擊僅為8.6%。其中，境內(nèi)攻擊主要來自北京（32.9%）、江蘇（13.9%）、浙江（11.4%）、山東（10.0%）、廣東（7.40%）。

值得一提的是，2014年，360補天平臺共收錄2490名“白帽子”提交的有效0day漏洞24724個。該平臺是國內(nèi)首個現(xiàn)金獎勵漏洞平臺，旨在建立企業(yè)與白帽子之間的橋梁，幫助企業(yè)建立SRC（安全應急響應中心）。