【正文】 年 7 月發(fā) 生 的臺灣 第 一銀行 ATM 機 “ 自動吐錢 ” 事 件也表明 ， 在 高 級攻擊 面 前 ， 即便 是 隔 離性最強 的 瘦終端 設 備，也 同 樣面臨 巨 大的安 全 威 脅 。根 據(jù) 《 2020 敲詐 者病毒威 脅 形勢分 析 報 告 （年報 ）》 ， 全 年約有 497 萬 臺電腦用 戶 遭遇敲 詐 者病毒 攻 擊 。 如某 互 聯(lián)網金 融 社區(qū)主 站 存 在 SVN 漏洞、汽車金 融 平臺資 車 貸曝出 信 息泄露 漏 洞等，一 定 程度上 和 這些金 融 新業(yè)態(tài)的 業(yè)務相關 性 較大， 這 些漏洞 一 旦遭利 用 將會導 致 網 站 內部信息 和 數(shù)據(jù)庫 數(shù) 據(jù)遭竊 取 。 另外在現(xiàn) 如 今網絡 黑 產中， 交 易個人 信 息成為 了 整 個 產業(yè)鏈中 重 要的一 環(huán) 。 從報給補 天 平臺并 被 收錄的 漏 洞總 數(shù) 來 看 ， 挖 洞最 多 的是 hckmaple， 共貢獻 1136 個漏 洞，平均 每 天挖洞 個， 堪 稱 “ 挖 洞 ” 勞模。 漏洞類型 企業(yè) 事業(yè)單位 政府機關 個人 社會團體 SQL 注入 % % % % % 信息泄露 % % % % % 弱口令 % % % % % 命令執(zhí)行 % % % % % 邏輯 % % % % % 權限繞過 % % % % % XSS % % % % % 文件上傳 % % % % % 入侵事件 % % % % % 代碼執(zhí)行 % % % % % 任意文件 操 作 % % % % % 存在后門 % % % % % 疑似被黑 % % % % % 文件包含 % % % % % 解析漏洞 % % % % % 智能硬件 % % % % % 表 3 補天平臺收錄的備案網站漏洞 類 型分布 18 二、 不同行 業(yè) 網站 對 比分析 由于企業(yè) 、 個 人備案 的 網站涵 蓋 了眾多 商 業(yè)行業(yè) 領域 ， 而且企業(yè) 、 個 人類備 案 的網站漏 洞數(shù)量最 大 ， 約 為 13646 個， 超 過了 2020 年補 天收 錄且已備 案 網站漏 洞 總量的 50%，因此 接下來對 上 述兩種 備 案類型 的 網站， 按 照所屬 行 業(yè) 加 以細分研 究 ?？傮w 而 言 ， 以 上 午 11 點 為界限， 11 點 之 后 多 于 11 點之 前，下午 要 多于上 午 。 （二） 發(fā)起漏洞 攻 擊地域 分 析 從發(fā)起漏 洞 攻擊 IP 的地域分布 來 看， %攻 擊 者 IP 來自境內地區(qū) ， 來自境 外 的攻擊 占比為 %。本章 將 主要介 紹 分析 360 網 站 衛(wèi)士針對 各 種漏洞 攻 擊 的攔 截 情況。 9 四、 漏洞修 復 率低 的 原因 分 析 盡管總體 上 ，目前 國 內網站 漏 洞修復 的 比率是 低 的 ， 不過 2020 年 以 來，隨 著 國家政策 與產業(yè)層 面 對網絡 安 全 、 網站業(yè) 務 安全的 重 視程度 不 斷加大 ， 以金融 、 教 育等 領 域 的企事業(yè) 單位越來 越 重視網 站 系統(tǒng)漏 洞 的修復 工 作，比 如 在 補 天注 冊 的 積 極性均 比 往年有 所 提高。不 過 ， 高危 漏 洞占比 依 然超 過 一半，為 %、中危 漏 洞占 %， 低危漏洞占 %。 綜合高危 漏 洞掃出 次 數(shù) 和 檢 出 有高危 漏 洞網站 數(shù) 量 ， 雖然存有 高 危漏洞 網 站 數(shù) 量 下 降 了 ， 但檢出高 危 漏洞的 數(shù) 量卻大 幅 增長 ， 說 明 高危漏 洞正 在向少數(shù) 網 站集中 ， 即 絕大多 數(shù) 網站已 經基本不 存 在可自 動 檢測的 高 危漏洞 了 ， 但極 少 數(shù) 網 站卻集中 出 現(xiàn)大量 高 危漏洞。 關鍵詞： 網站安 全 、漏 洞 、補天 、 檢測 4 目 錄 第一章 網站掃 描 漏洞 分 析 ............................................................................................................1 一、 掃描網 站 介 紹 ....................................................................................................................1 二、 漏洞數(shù)量 ...........................................................................................................................2 三、 漏洞類 型 分 析 ....................................................................................................................4 第二章 人工挖 掘 漏洞 分 析 ............................................................................................................5 一、 漏洞數(shù)量 ...........................................................................................................................5 二、 漏洞類 型 分 析 ....................................................................................................................6 三、 漏洞修 復 情 況 ....................................................................................................................8 四、 漏洞修 復 率低 的 原因 分 析 .................................................................................................9 第三章 網站漏 洞 攻擊 分 析 .......................................................................................................... 10 一、 漏洞攻 擊 數(shù)量 統(tǒng) 計 .......................................................................................................... 10 二、 漏洞攻 擊 類型 分 析 .......................................................................................................... 11 三、 漏洞攻 擊 地域 分 析 .......................................................................................................... 11 四、 漏洞攻 擊 時域 分 析 .......................................................................................................... 13 第四章 網站安 全 漏洞 行 業(yè)分 析 ................................................................................................... 15 一、 不同備 案 網站 對 比分 析 ................................................................................................... 15 二、 不同行 業(yè) 網站 對 比分 析 ................................................................................................... 18 第五章 白帽子 與 漏洞 獎 勵 .......................................................................................................... 21 一、 白帽子 獲 獎情況 .............................................................................................................. 21 二、 白帽子 性 別與 年 齡分 析 ................................................................................................... 21 三、 2020 年典 型 漏洞 舉例 ...................................................................................................... 23 第六章 2020 年網 站 安全 熱 點問 題 .......................................................................................... 24 一、 網站泄 漏 個人 信 息成 網 絡詐 騙 助推 器 ............................................................................ 24 二、 金融行 業(yè) 網站 漏 洞威 脅 更加 復 雜 化 ................................................................................ 24 三、 網站掛 馬 攻擊 重 新興 起 ................................................................................................... 25 四、 智能硬 件 容易 遭 劫持 ， 安全 隱 患迭 出 ............................................................................ 26 第七章 2020 年網 站 安全 技 術前 沿 趨勢 .................................................................................. 27 一、 WEB 防 御 進入 多 維智 能 協(xié)同 階 段 ............................................................................................. 27 二、 眾測 /眾 包模 式 構建 “ SRC 即服 務 ” 機制 ............................................................................. 27 三、 開放數(shù) 據(jù) 挖掘 將 成為 WEB 安 全 威 脅新 熱 點 ........................................................................... 28 5 四、 應用感 知 和持 續(xù) 監(jiān)測 為 增強 應 用安 全 提供 新 方向 ......................................................... 29 附錄 1 2020 年國 內 外重 大 網站 安 全事件 ....................................................................................... 30 附錄 2 2020 年網 站 被篡 改 植入 非 法網 頁 實 例 ............................