【導(dǎo)讀】2020年全年，360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站萬個，從檢測出漏洞的危險等級來看，高危漏洞數(shù)量占%，中危占%，低危占%。3月份是掃出高危漏洞最多的月份，數(shù)量達(dá)到萬次。應(yīng)用程序錯誤信息（%）、異常頁面導(dǎo)致服務(wù)器路徑泄露（%）和跨站腳本攻擊。備案已過期的網(wǎng)站漏洞有8295個，占比為%。執(zhí)行和弱口令，分別占%和%。對2020年補天平臺的備案網(wǎng)站漏洞的抽樣調(diào)查顯示，平均漏洞修復(fù)率僅為%。例為%，一個月內(nèi)修復(fù)的比例為%，超過30天才修復(fù)為%。是攻擊量最大的三個月。%受害者IP為境內(nèi)地區(qū)。2020年發(fā)起漏洞攻擊最多的十大城市。hckmaple，三人各自獲得的獎金皆超過20萬。從報給補天平臺并被收錄的漏洞總數(shù)來看，挖洞最多的是hckmaple，共貢獻(xiàn)1136個漏。從獲得獎金額度占比方面來看，男性白帽子占據(jù)絕對優(yōu)勢，達(dá)到%，女性白帽子獲。歲，年齡最大的66歲。從年齡段來看，年輕的“90后”目前仍然是白帽子的絕對主力，占白帽子總量的%，

　　

【正文】 716 419965 亞軍 system_gov 302 230735 季軍 hckmaple 1136 203595 第 4 名 a0 354 186795 第 5 名 by_long 230 168945 第 6 名 depy 499 115130 第 7 名 dragon00 364 93200 第 8 名 華不再揚 104 90555 第 9 名 hackbar 431 89830 第 10 名 新生 177 82575 表 6 2020 年度補天平臺獲獎金最多白帽子 Top10 二、 白帽子 性 別與 年 齡分析 2020 全年 （ 截止到 11 月 15 日 ） ，共有 119 名女性 白 帽子提交 漏 洞，占 比 為 %，相 比 2020 年的 %， 有較 大 幅度 提 升 。 在 獲 得獎金 額 度占比方 面 ， 男性 白 帽 子 繼 續(xù) 占據(jù)絕對 優(yōu)勢 ，達(dá) 到 %， 女性 白 帽子獲 得 獎金額 度 占比 僅 為 %， 不 過， 和 2020 年 （ %）相 比略有上 升 。 盡管 如 此，女 性 白帽子 依 然稀缺。 22 根據(jù)白帽 子 的注冊 信 息統(tǒng)計 ， 在 2020 年 向補 天 平 臺 提交漏洞 的 白帽子 中 ，年齡 最 小的 14 歲 ， 年 齡 最大的 66 歲 。其 中 ， 19 歲 24 歲 之間 的 白帽子數(shù) 量 最多 ， 約 占總數(shù)的 50%。 下 圖給出了 向 補天平 臺 提交漏 洞 的白帽 子 的年齡 分 布 。 23 而從年齡 段 來看 ， 延 續(xù)了 2020 年的 趨 勢 ， 年 輕 的 “ 90 后 ” 目 前 仍然是 白 帽子的 絕 對主 力，占白 帽 子總量的 %， “ 80 后 ” 次之 ， 占 %。 值得注意 的 是 ，相 比 2020 年 “ 00 后 ” 白 帽子僅占 %，今 年約有 %的 白帽子是 16 歲及以下 的 青少年 ， 比 例 和數(shù)量 都 大為提 高 。 由 此 可 見 ， 網(wǎng)信事業(yè) 特 別是互 聯(lián) 網(wǎng)安全 事 業(yè)對 新生一代 （ 青少年 學(xué) 生）還 是 非常有 吸 引力的！ 三、 2020 年典 型 漏洞舉例 下表給出了 2020 年 ， 補天平 臺 收錄 的 五 大典 型 漏 洞 ： 排名 漏洞名稱 類型 點評 1 live800 全球在線客 服 任意文 件 操作 邏輯漏洞 市場上占 有 最高的 在 線客服 平臺，影 響 巨大 2 布丁機器 人 遠(yuǎn)程劫 持 漏洞 智能硬件 從底層分 析 并且劫 持 了布丁 機器人 ， 對 新的智 能 硬件系統(tǒng) 的漏洞挖 掘 打開了 新 的篇章 3 PHPCMSv96 任意密碼重置 邏輯漏洞 Phpcms 是利用廣泛的建站模 板 ， 而該 漏 洞可以 在 前臺進(jìn)行 密碼重置 ， 危害較大 4 ecshop 最新版存在高危漏 洞 ， 可以注入 造 成數(shù)據(jù) 泄 露 SQL 注入 利用廣泛 的 建站模 板 ， 可以注 入造成數(shù) 據(jù) 泄露 5 友寶自動 售 賣機抽 獎 漏 洞 ， 可 1 元拿 走 任意商品 邏輯漏洞 借助一項 促 銷活動 ， 控制自動 售賣機， 思 維新穎 表 7 2020 年補天平臺五大典型漏洞 24 第六章 2020 年 網(wǎng)站 安 全熱 點 問題 一、 網(wǎng)站泄 漏 個人 信 息成 網(wǎng) 絡(luò)詐 騙 助推器 2020 年網(wǎng)站 信 息泄露 事 件層出 不 窮， 最 引人關(guān) 注 的 有 “ 京東 12G 用 戶數(shù) 據(jù) 外泄 ” 、 “ 國 家電力 APP 疑似泄露 千 萬用戶 信 息 ” 事 件 。同時 電 信網(wǎng)絡(luò)詐 騙 也成為 高 發(fā)的犯 罪 類型，特 別是 “ 山 東 徐玉玉 事 件 ” 、 “ 清 華教授 被 騙 1700 萬 事 件 ” 案件 發(fā) 生后， 成 為社會 輿 論關(guān)注的 焦點。 大量的實 際 案例和 研 究表明 ， 網(wǎng) 站個人 信 息泄露 已成 為網(wǎng)絡(luò)詐 騙 助推器 。 獵 網(wǎng)平臺 詐 騙 報告顯示 ， 有 半數(shù)以 上 的詐騙 案 件與 個 人信息 泄 露 有 關(guān) ， 如機票 退 改簽 、 購 物退款 、 冒充公 檢法 、 冒充熟人 、 銀 行卡盜 刷 等電信 網(wǎng) 絡(luò)詐騙 都 是 最 典型的利 用 泄露的 信 息來行騙 ， 使 得受 害者防不 勝 防 。 中 國 互聯(lián) 網(wǎng) 協(xié)會發(fā) 布 的 《中 國 網(wǎng)民 權(quán) 益保護(hù)調(diào) 查 報告 2020》 同 樣 可以看 到 ， 網(wǎng)民在網(wǎng)購過 程 中，遭遇 “ 個 人信息 泄 露 ” 的占 51％， 84％因信 息 泄露受到 騷 擾、金錢損 失等不良 影 響，一 年 因個人 信 息泄露 等 遭受的 經(jīng) 濟(jì) 損 失高達(dá) 915 億元。 如山東徐 玉 玉案中 ， 犯 罪 分子在 竊 取其報 考 院校 、 助 學(xué)金申請 等 信息后 ， 偽 裝 成教育局 工作人員 發(fā) 放助學(xué) 金 進(jìn)行詐騙 ， 經(jīng) 過警方 調(diào) 查 ， 該 信 息是由黑 客 利用安 全 漏洞侵 入 了 “ 山東 省 2020 高 考 網(wǎng)上報 名 信息系 統(tǒng) ” 網(wǎng)站 獲 取的 ， 且 共 竊取下載了 60 多萬 信 息。 另外在現(xiàn) 如 今網(wǎng)絡(luò) 黑 產(chǎn)中， 交 易個人 信 息成為 了 整 個 產(chǎn)業(yè)鏈中 重 要的一 環(huán) 。今年 12 月 《南方都 市 報》報 道 ，僅需 花 費 700 元 即可 買 到 11 項個人隱 私 信息， 涉 及個人 航 班記錄、 存款記錄 、 開房記 錄 、手機 實 時定位 信 息、手 機 通 話 記錄等多 項 信息。 大量個人 信 息泄露 ， 主要由 兩 方面原 因 所致 。 一是因 為 網(wǎng)站存在 安 全漏洞 ， 被黑客 入 侵。 二是因為 網(wǎng) 站內(nèi)部 人 員非法 盜 賣。 1） 漏洞導(dǎo)致 個 人信息 泄 露 2020 年僅 補 天平臺 收 錄的漏 洞 中 ， 就 有 1400 余個 漏 洞可造成 個 人信息 泄 露 ， 可 泄露信 息規(guī)模達(dá) 億條 ， 2020 年又 新 收錄了 300 余個 可 造成個人 信 息泄露 的 漏洞， 約 可泄露個 人信息 50 余 億條。 2） 網(wǎng)站內(nèi)部 人 員非法 盜 賣導(dǎo)致 個 人信息 泄 露 根據(jù)公安 部 年底披 露 的相關(guān) 信 息 ， 在為期 半年的打 擊 侵犯公民 個 人信息 犯 罪專項 行 動 中 ， 繳獲犯罪 嫌 疑人非 法 持有的 公 民個人 信 息 290 多 億 條 ， 捕獲犯罪 嫌 疑人 360 余人 。 而 特 別耐 人尋味的 是 ，在這 些 被抓獲 的 犯罪嫌 疑 人中， 僅 有 90 多人 為 電腦黑 客 ， 其 余 270 多人 均 是 來 自 銀 行、 快 遞 、 證券 、 電 商 網(wǎng)站 等 公 司 的內(nèi) 部 員工 。 且 前 述《 南 方 都 市報 》 報道的 700 元購買個 人 信息案 件 經(jīng)過偵 破 后，也 發(fā) 現(xiàn)是相 關(guān) 機 構(gòu) 的 3 名內(nèi) 部 人員所 為 。 二、 金融行 業(yè) 網(wǎng)站 漏 洞威 脅 更加 復(fù) 雜化 金融行業(yè) 離 “ 錢財 ” 最 近 ， 因 此 金融行 業(yè) 網(wǎng)站漏 洞受 到黑客的 關(guān) 注也最多 。 據(jù)補天 平 臺 統(tǒng)計 ， 2020 年 金 融行業(yè) 網(wǎng) 站漏洞 數(shù) 量和高 危 漏洞數(shù) 量 都處于各 行 業(yè)前列 。 今 年 前 11 個月金 融網(wǎng)站的 漏 洞曝出 數(shù) 量（ 超 過 1700 個 ） 、 高危 漏 洞 的 數(shù)量 （ 約 700 個）皆 領(lǐng) 先于教 育 培訓(xùn)、 汽車交通 、 醫(yī)療衛(wèi) 生 等行業(yè)。 25 其次，金融行 業(yè) 各細(xì)分領(lǐng) 域 的網(wǎng)站基 本 都曝出安全 問 題，尤其是以 保 險領(lǐng)域 最 為 嚴(yán)重。 據(jù)補天平 臺 收錄的 漏 洞數(shù)據(jù) ， 白 帽子報 告 出保 險 領(lǐng)域 260 多個漏洞 ， 銀行領(lǐng)域 130 多個 漏 洞， 證券行業(yè) 70 個漏洞 ， P2P 理 財 服務(wù)類 網(wǎng) 站也報出 180 多個漏洞 。例 如 ， 2020 年 4 月 份 曝光 的國內(nèi)某 保 險協(xié)會 網(wǎng) 站存在 的 安全漏 洞 隱患可 能 導(dǎo)致 8 億保單信 息 泄露 ， 影響上 億 用戶。 第三 ， 一些 新 興的金 融 業(yè)務(wù)網(wǎng) 站 安全也 同 樣出現(xiàn) 不少 問題 。 如某 互 聯(lián)網(wǎng)金 融 社區(qū)主 站 存 在 SVN 漏洞、汽車金 融 平臺資 車 貸曝出 信 息泄露 漏 洞等，一 定 程度上 和 這些金 融 新業(yè)態(tài)的 業(yè)務(wù)相關(guān) 性 較大， 這 些漏洞 一 旦遭利 用 將會導(dǎo) 致 網(wǎng) 站 內(nèi)部信息 和 數(shù)據(jù)庫 數(shù) 據(jù)遭竊 取 。 此外 ， 今年多 家 第三方 支 付企業(yè) 也 曝出若 干 漏洞 ， 一 旦遭利 用 ， 將 會 影響平 臺 用戶的資 金 流 動 安全 。 據(jù)人 民 銀 行 的消 息 ，第 三 方 支 付牌 照 將 停 止 新 授權(quán) 的 頒發(fā) ， 也 就 是說 現(xiàn) 存的 270 家手里 的 牌照 含 金量極 高 ，這些 企 業(yè)更應(yīng) 重 視 網(wǎng) 站安全隱 患 。 最后 ， 2020 年金 融 領(lǐng)域 APT 攻擊進(jìn)一步加劇 商 業(yè) 銀 行網(wǎng)絡(luò)威 脅 的復(fù)雜 化。 例 如 ， 2020 年 7 月發(fā) 生 的臺灣 第 一銀行 ATM 機 “ 自動吐錢 ” 事 件也表明 ， 在 高 級攻擊 面 前 ， 即便 是 隔 離性最強 的 瘦終端 設(shè) 備，也 同 樣面臨 巨 大的安 全 威 脅 。 三、 網(wǎng)站掛 馬 攻擊 重 新興起 2020 年網(wǎng) 站 掛馬攻 擊 再 次 興 起 。 攻 擊 者在網(wǎng) 頁 中嵌 入 惡意代 碼 ， 當(dāng)用 戶 訪問該 網(wǎng) 頁時， 嵌入的惡 意 代碼利 用 瀏覽器 本 身 或者 Flash 等插件 的 漏洞 ， 在 用 戶不知 情 的情況 下 下載并執(zhí) 行惡意木 馬 。 盡管 2020 年 以 來，得 益 于國內(nèi) 安 全瀏覽 器 的 普及 和 第三方打 補 丁工具 的 普 及 ， 針 對國 內(nèi)用戶的 掛 馬攻擊 的 事件呈 現(xiàn) 持續(xù)大 幅 下降的 趨 勢 ， 但 2020 年 2020 年以 來 ，網(wǎng)頁 掛 馬在 國內(nèi)又重 新 流行， 黑 客針對 網(wǎng) 站的掛 馬 活動再 次 活 躍 ，并呈現(xiàn) 一 定程度 爆 發(fā)趨勢。 根據(jù) 360 互 聯(lián)網(wǎng)安 全 中心監(jiān) 測 顯 示 ， 全 年 （ 2020 年 111 月 ） 攔 截掛馬 攻 擊 746 萬余次。 誘發(fā)掛馬 攻 擊在國 內(nèi) 死灰復(fù) 燃 的主要 原 因有以 下 三 個 方面： 1） Hacking Team 大 量攻擊 代 碼泄漏 2020 年 7 月 臭名昭 著 的黑客 公 司 Hacking Team 泄 露 了大約 400G 的內(nèi) 容 ，其中 包 括一 些漏洞利 用 工具產(chǎn) 品 的源代碼 ， 即 刻引起 國 內(nèi)黑客 的 注意 ， 例如 ， 當(dāng)月 就 出現(xiàn)含 有 上述代碼 的下載器 木 馬 ， 對受 害 者電腦 實 施惡 意 下載 、 廣 告彈 窗等攻擊 行 為 。 同 時 ， 由于這 些 泄露出 來的源代 碼 快速擴 散 ， PC 端原本不溫不 火 的流氓 推 廣類木馬 也 逐漸有 抬 頭之勢 ， 靠廣告推 廣賺錢的 黑 產(chǎn)分子 死 灰復(fù)燃 ， 從而導(dǎo) 致 監(jiān)測到 的 掛 馬 攻擊不斷 增 多。 2） Flash 漏洞增多， 修 復(fù)周期 較 長 2020 年以來 ， Flash 被先后曝出 多 個高危 安 全漏洞 ， 極具利用 價 值 。 例如 ， 2020 年 被 發(fā) 現(xiàn)的 CVE2020512 CVE20205119 漏 洞已經(jīng) 成為 大量掛馬 程 序的 “ 靶 子 ” 。 與 微 軟漏洞 不同，作 為 一種瀏 覽 器插件 ， Flash 版本 的 更新和 漏 洞修復(fù)并 沒 有有效 的 定期推 送 機制，往 往只能依賴于 瀏 覽器及相 關(guān) 軟件廠商 （ 很多軟件 自 帶 網(wǎng)頁播放功能 ） ， 或者是用 戶 自主的手 動更新 ， 而且 即 便是有 的 瀏覽 器 給出了 Flash 插件 的 升級提示 ， 很 多 用戶也 會 視而 不 見 。 這 就使得 Flash 漏洞可能 比 微軟漏 洞 能夠更 加 長期 ， 普 遍的存在 于 用戶電 腦 或手機中 ， 給 攻擊 者留下了 充 分的空 間 。 3） 敲詐者病 毒 的流行 間 接推動 了 掛馬產(chǎn) 業(yè) 發(fā)展 26 2020 年，特 別 是 2020 年 以來， 敲 詐者病 毒 在國內(nèi) 的 攻擊增長 迅 速。根 據(jù) 《 2020 敲詐 者病毒威 脅 形勢分 析 報 告 （年報 ）》 ， 全 年約有 497 萬 臺電腦用 戶 遭遇敲 詐 者病毒 攻 擊 。 由于 敲詐者病 毒 的攻擊 門 檻低 ， 溯 源 難 ， 收 益 高 ， 造 成了 敲詐者病 毒 的大量 傳 播 ， 而掛 馬 攻 擊 又 是各類木 馬 傳播的 最 常用的 方 式 。 所以敲 詐 者病毒 的 攻擊者開 始 大量的 向 掛馬攻 擊 者購買掛 馬服務(wù) ， 從 而 間接推 動 了掛馬 產(chǎn) 業(yè)的活 躍 度 ， 并