12月21日，360互聯(lián)網(wǎng)安全中心發(fā)布《中國網(wǎng)站安全報告（2015）》，對全年網(wǎng)站漏洞、后門情況，漏洞遭受攻擊情況、以及個人信息情況等進行了總體研究，報告顯示，目前，4成網(wǎng)站存在漏洞，黑客利用漏洞對8萬多家網(wǎng)站進行篡改，兩成服務器被植入后門，黑客引導網(wǎng)民前往惡意網(wǎng)站。

上百萬網(wǎng)站有漏洞 高危漏洞占兩成

2015年全年（截至11月18日），360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站231.2萬個，較2014年的164.2萬個增加了40.8%。其中，掃出存在漏洞的網(wǎng)站101.5萬個，占比為43.9%，較2014年的61.7萬個增長了64.5%。其中，掃出存在高危漏洞的網(wǎng)站30.8萬個，占掃描網(wǎng)站總數(shù)的13.3%，較2014年的27.9萬個增長了10.4%。

從檢測出漏洞的危險等級看，高危漏洞占21.7%，中危漏洞占10.2%，低危漏洞占68.1%。

從漏洞數(shù)量來看，360網(wǎng)站安全檢測平臺全年共掃描發(fā)現(xiàn)網(wǎng)站高危漏洞265.1萬次，約為2014年462.1萬次的一半，平均每月掃出高危漏洞約24.1萬次；平均每天掃出高危漏洞約0.8萬次。

相比于2014年，高中低危漏洞掃出數(shù)量大致相當，由于掃描網(wǎng)站數(shù)量大大增加，因此，2015年，高中危漏洞的掃出比例大幅下降。

從漏洞類型來看，從網(wǎng)站漏洞類型上看，跨站腳本攻擊（XSS）漏洞、異常頁面導致服務器路徑泄露、SQL注入漏洞等是2015年最為頻繁掃出的漏洞類型。三類安全漏洞之和接近網(wǎng)站所有漏洞檢出總次數(shù)的一半。其中，跨站腳本攻擊漏洞占21.9%、異常頁面導致服務器路徑泄露占11.8%和SQL注入漏洞占16.0%，這相比2014年，“異常頁面導致服務器路徑泄露”之漏洞是今年的“黑馬”漏洞，超過SQL注入漏洞而躍居第二。

兩成服務器有被植入后門 黑客密碼也用弱口令

黑客入侵網(wǎng)站后，一般有三類常見攻擊行為：一是篡改網(wǎng)站內(nèi)容；二是植入后門程序，三是通過其他方式騙取管理員權限，進而控制網(wǎng)站或進行拖庫。

360互聯(lián)網(wǎng)安全中心對掃描監(jiān)測的231萬個網(wǎng)站進行大數(shù)據(jù)分析，存在漏洞的網(wǎng)站中被篡改（不包括被植入后門程序）的網(wǎng)站8.4萬個，比2014年的17.7萬個下降了52.5%，網(wǎng)站遭篡改情況明顯好轉(zhuǎn)。

而從每月數(shù)據(jù)統(tǒng)計來看，2015年前十一個月平均每個月掃描檢出被篡改網(wǎng)站1.6萬個，比2014年的3.28萬，減少了50.5%。

2015年全年（截至11月18日），360互聯(lián)網(wǎng)安全中心共對21854臺網(wǎng)站服務器進行了網(wǎng)站后門檢測，覆蓋網(wǎng)站322.3萬個，掃描發(fā)現(xiàn)約4097臺服務器存在后門，比2014年的3465臺服務器增加了18.2%，約占所有掃描網(wǎng)站服務器的19%。

2015年全年（截至11月18日）360互聯(lián)網(wǎng)安全中心已掃出各類網(wǎng)站后門文件樣本數(shù)量多達858.1萬個。其中，SEO后門數(shù)量占比最高，達45.0%，其次是一句話木馬，占比35.0%，多功能木馬占比2.0%。與2014年一句話木馬占到了網(wǎng)站后門的69.2%不同，今年惡意SEO后門的占比最高。

 目前，大部門網(wǎng)站后門都暗藏惡意域名鏈接，這些惡意域名鏈接會指向一個受黑客控制的惡意網(wǎng)站。下表為2015年網(wǎng)站后門中出現(xiàn)次數(shù)最多的10個惡意網(wǎng)站域名。 

一般來說，黑客會在植入控制類木馬時設置密碼，目的是防止其他黑客使用自己植入的后門。但DDoS腳本木馬通常則不會設置密碼，一般只需要填寫要攻擊的host和端口，就可以發(fā)動流量攻擊。

有意思的是，很多網(wǎng)站被成功入侵的原因之一就是管理員使用了弱密碼或弱口令。但通過對網(wǎng)站后門的分析研究也發(fā)現(xiàn)，黑客在設置后門程序密碼時，也會習慣性的使用一些常見密碼。

因漏洞 個人信息泄露將雪崩出現(xiàn)

2015年，關于網(wǎng)站被拖庫、撞庫的新聞時時見諸于各類媒體。記者根據(jù)報告統(tǒng)計顯示，在2015年（截至2015年11月18日）中國最大的漏洞信息響應平臺補天平臺收錄的網(wǎng)站漏洞中，共有1410個漏洞可能造成網(wǎng)站上的個人信息泄露，這些漏洞共涉及網(wǎng)站1282個，可能泄露的個人信息量（本章下文簡稱泄露信息量）高達55.3億條。這一數(shù)字較2014年的23.6億條翻了一倍還多。如果按照中國網(wǎng)民總數(shù)為6.5億計算，這一數(shù)字也就意味著，僅僅在2015年這一年，平均每個中國網(wǎng)民就至少可能泄漏了8條以上的個人信息。

報告指出，目前，個人信息的泄漏已經(jīng)成為電信騷擾和網(wǎng)絡盜號、網(wǎng)絡詐騙等網(wǎng)絡犯罪頻發(fā)的首要原因。越來越多的黑客和犯罪分子參與到個人信息的盜竊和交易當中。未來三至五年內(nèi)，個人信息的泄漏可能仍將呈現(xiàn)不可逆的，雪崩式的增長。

在萬物互聯(lián)時代，物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、互聯(lián)網(wǎng)+金融、O2O創(chuàng)業(yè)等領域方興未艾，事實證明，

廠商重視客戶端應用界面的快速上線，而忽略了應用背后常規(guī)、基礎的安全保障功能，以致對安全投入成本跟不上，導致大量應用及網(wǎng)站服務器端漏洞曝出。

專家說法：大數(shù)據(jù)保障網(wǎng)絡安全

裴智勇博士介紹， 網(wǎng)站漏洞通常為事件型漏洞和通用型漏洞，事件性漏洞不易被自身監(jiān)測。網(wǎng)站加入補天平臺，通常意味著網(wǎng)站會安排專人對補天平臺報告的漏洞進行響應和處理，但是，統(tǒng)計顯示，加入補天后，網(wǎng)站信息漏洞呈直線下降趨勢，安全性大大提高。在2015年被報告漏洞的備案網(wǎng)站中，有22.0%的網(wǎng)站已加入補天平臺，還有近八成的網(wǎng)站未加入。

裴智勇博士介紹，，2015年，“數(shù)據(jù)驅(qū)動安全”的全新技術理念正在逐步取代傳統(tǒng)的被動防御、靜態(tài)防御、孤立防御的技術理念，成為廣泛認可的重要的網(wǎng)絡安全發(fā)展趨勢，并且已經(jīng)取得了一系列的重要成果。威脅情報將是未來一兩年內(nèi)，最具發(fā)展?jié)摿Φ男屡d安全服務技術。人工智能、機器學習以及大數(shù)據(jù)可視化等一系列新興的網(wǎng)絡安全技術，將成為網(wǎng)絡安全企業(yè)競爭力的核心體現(xiàn)。