【正文】 對網(wǎng)站發(fā) 動 流量攻 擊 。 而對 于網(wǎng) 站修復(fù) 、 加 固 等防范 措 施關(guān)注 較 少 ， 尤 其是對網(wǎng) 站 安全響 應(yīng) 機(jī)制 的 配 套與完 善 缺乏深 入 探 討 。 此 外， 不 少網(wǎng) 站 投入 少 ，缺 乏 專業(yè) 安 全團(tuán) 隊(duì) ，導(dǎo) 致 安 全 維護(hù) 、 漏洞 修 復(fù)等 能 力缺 失 ， 也是目前 網(wǎng) 站漏洞 修 復(fù)率極 低 的原 因 。 不 知 漏洞 的 巨大 潛 在 危險 ， 而且 不 少網(wǎng)站 管 理者存 在 僥幸 心 理 ， 認(rèn)為 網(wǎng)站 雖然有漏洞 ， 但只要 媒 體不曝 光 ， 用戶 不知道就 沒 有關(guān)系 。 2020 年千 呼 萬喚 的 《網(wǎng)絡(luò) 安 全法 》 正式通 過 全國 人大 常委會審 議 ， 2017 年 6 月 份 將正 式實(shí)施， 希 望能改 變 當(dāng)前懲 罰 機(jī)制缺 位 的局面。 即 便 是政府 、 事業(yè) 單位的網(wǎng) 站 也是如 此 。 然而 ， 整體 而 言 ， 各 行 業(yè) ， 尤 其 是對安 全 投入較 少的 行業(yè) ， 網(wǎng)站 漏 洞修復(fù) 的 周期仍 顯 較 長，有的 網(wǎng) 站甚至 根 本找不 到 相應(yīng)的 負(fù) 責(zé)人。 以金融為例 ， 目 前包括 國 有四大行 、 各 主要股 份 制 銀 行基本都 在 補(bǔ)天平 臺 注冊 ， 其他行 業(yè)的企業(yè) 目 前注冊 的 企業(yè)也 達(dá) 到 4000 多 家 。 補(bǔ) 天平 臺 還會 不 定期 進(jìn) 行人 工 復(fù)核 ， 以了 解 漏洞 的 修 復(fù) 情況 ， 一般 采 取抽 樣 人工 驗(yàn) 證 的方式， 相 關(guān)的數(shù) 據(jù) 情況將 在 第四章 具 體介 紹 。 另 一方 面 ，補(bǔ) 天 平臺 也 沒有 強(qiáng) 制標(biāo) 注 的要 求 。 補(bǔ) 天平 臺 看到 的 漏洞 修 復(fù)情 況 ，和 抽 樣調(diào) 查 的結(jié) 果 略 有 不同 。 再從修復(fù) 漏 洞所花 費(fèi) 的時長看 ， 根 據(jù) 廠 商明確 標(biāo) 記 已 修復(fù)的網(wǎng) 站 漏洞中 ， 1 天內(nèi)修 復(fù) 的 比例為 %，當(dāng)天 未 修復(fù)， 但 一周以 內(nèi) 修復(fù)的 比例 為 %， 超 過一周 但 在一個 月 內(nèi) 修復(fù) 的比例為 %，超過 30 天才 修 復(fù)的比例為 %。 從補(bǔ)天平 臺 收錄漏 洞 的具體 類 型來 看 ， SQL 注入漏 洞 最多 ， 占 比 為 %， 其 次是命令 執(zhí)行和弱 口 令 ， 分別占 %和 %。 但 從另一 個 角度來 看 ， 備案 網(wǎng) 站仍然 存在 大量的事 件 型漏洞 ， 這 也就意 味 著 ： 僅 僅通過一 般 的 、 通用 的 安全檢 測 手段并 不 足以及 時的 發(fā)現(xiàn)網(wǎng)站 潛 在的安 全 問題 。 鑒于多數(shù) 通 用型漏 洞 屬于可 以 檢測的 已 知漏洞 ， 而 事 件型漏洞 則 存在一 定 的偶發(fā) 性 和不 可預(yù)測性 。 7 從漏洞性 質(zhì) 看 ， 在備 案 的網(wǎng)站 中 ， 通用 型 漏洞比 例 很 低 ， 僅為 %， 絕大 多 數(shù)漏 洞 （ %） 為事件型 漏 洞 。 二、 漏洞類 型 分析 在補(bǔ)天平臺 2020 年收錄 的 網(wǎng)站漏 洞 中 ， 通 用 型漏 洞 比例占比為 %，相比 2020 年的 （ %）有所 下 降。 6 2020 年補(bǔ) 天 平臺收 錄 的 漏洞 中 ，備案 網(wǎng) 站的漏 洞 有 23982 個， 占 比為 %， 未 備案 或備案已 過 期的網(wǎng) 站 漏 洞 有 8295 個， 占 比為 %。 下圖為 2020 年 1 月至 11 月中 旬 ，補(bǔ)天 平 臺每月 收錄 的網(wǎng)站漏 洞 數(shù)量統(tǒng) 計(jì) 。 統(tǒng)計(jì) 顯示，在 2020 年 被報 告 漏洞的 備 案網(wǎng)站 中 ，有 %的網(wǎng) 站 已加入 補(bǔ) 天平臺 ， 還有 % 的網(wǎng)站未 加 入。 一、 漏洞數(shù)量 2020 年 1 月 1 日 11 月 15 日，補(bǔ) 天 平臺公有 SRC 共 收錄各類 網(wǎng) 站安全 漏 洞 32277 個， 私有 SRC（含眾 測 ） 收錄 漏 洞 4911 個 ， 總共 漏 洞 數(shù) 為 37188 個 ， 與 2020 年 （ 37943 個 ） 基 本持平 ； 從 涉 及 web 站點(diǎn)看 ， 2020 年 補(bǔ)天平 臺 收錄 的 漏洞涉及 網(wǎng) 站 （按域 名 統(tǒng)計(jì) ） 共 30329 個，同比（ 26370 個 ）增加了 3959 個 網(wǎng) 站。 5 第二章 人工挖 掘 漏洞 分析 本 章從 人 工挖 掘 角度 ， 對網(wǎng) 站 漏洞 情 況進(jìn) 行 分析 。 從 圖中 可 以看 出， 應(yīng) 用 程 序錯誤信 息 （ %） 、 異 常 頁面 導(dǎo) 致服務(wù) 器 路 徑 泄 露 （ %） 和跨站 腳 本攻擊 漏 洞 （ %） 這三類安全漏洞是占比最高的網(wǎng)站安全漏洞，三者之 和 超過所有漏洞檢出總次數(shù)的 60%。 4 三、 漏洞類 型 分析 從 網(wǎng)站 漏 洞類 型 上看 ， 應(yīng) 用程 序 錯誤 信 息、 異 常頁面 導(dǎo) 致服 務(wù) 器路 徑 泄露、 跨 站 腳 本 攻擊（ XSS）漏 洞 等是 2020 年 最 為頻繁 掃 出的漏 洞 類型。其中 3 月 份 是掃出 高 危漏洞 最 多的月 份，數(shù)量 達(dá) 到 萬次。 3 360 網(wǎng)站安 全 檢測 平 臺全年 共 掃描發(fā) 現(xiàn) 網(wǎng)站高 危 漏洞 萬次 ， 較 2020 年 萬次 大幅增長 80%， 平 均每月 掃 出高危 漏 洞約 萬 次 ；平均每 天 掃出高 危 漏洞約 萬次。 下圖給出了 360 網(wǎng) 站 安全檢 測 平臺每 月 掃描出 存在 高危漏洞 的 網(wǎng)站個 數(shù) （當(dāng)月 去 重 ） 。 相比較 而 言 ， 2020 年網(wǎng)站 檢 出高危 漏 洞 的 情況有所 好 轉(zhuǎn)。具 體 見下圖。 其中共有 萬備案 網(wǎng) 站，其 中 企業(yè)備 案 的占 %，占 比 最高， 其 次是個 人 （ %）、 政府機(jī)關(guān)（ %） 、事業(yè) 單 位（ %） 等 。 一 般網(wǎng) 站 正常 備 案的 類 型為 ： 政 府機(jī)關(guān) 、 軍 隊(duì) 、 事業(yè) 單 位 、 社會團(tuán) 體 、 企 業(yè) 、 個 人 、 基金會 、 律師 事 務(wù)所 等 類 型 ， 本 節(jié)主要 對 webscan 掃描的有備案網(wǎng)站和 域 名類型 角 度進(jìn)行 介 紹。 本章 將 從 自動 掃描 角度 ， 以 360 網(wǎng)站安 全 檢測與 防 護(hù)相關(guān) 產(chǎn)品的統(tǒng) 計(jì) 結(jié)果為 依 據(jù)，分析 2020 年 中 國網(wǎng) 站 的 安 全漏洞情 況 。相比 2020 年 “ 00 后 ” 白 帽子僅占 %， 2020 年約有 % 的白帽子是 16 歲 及以下 的 青少年 ， 比例和 數(shù) 量都 大 為提高。 其 中， 19 歲 24 歲之間的 白帽 子數(shù)量最 多 ，約占 總 數(shù)的 50%。 ? 從獲得獎 金 額度占 比 方 面 來看 ， 男性白 帽 子占據(jù) 絕對 優(yōu)勢 ， 達(dá)到 %， 女性白帽 子 獲 得獎金額 度 占比僅為 %，不 過 ，和 2020 年（ %）相比略 有 上升。 ? 從報給補(bǔ) 天 平臺并 被 收錄的 漏 洞總 數(shù) 來 看 ， 挖洞最 多 的是 hckmaple， 共貢獻(xiàn) 1136 個漏 洞，平均 每 天挖洞 個 ， 堪稱 “ 挖 洞 ” 勞 模 。 ? 2362 名白帽子獲得 獎 金 萬元 ， 其 中通用 型 漏 洞 占比為 %， 事件 型 漏洞 %。 ? 從高危漏 洞 修復(fù)率 來 看 ， 金融 網(wǎng) 站修復(fù) 率 是最高的 ， 占比為 %， 其次電信 運(yùn) 營商網(wǎng) 站 %，汽車交通網(wǎng)站 %。占比為 %。 ? 從高危漏 洞 網(wǎng)站來看 ， 電信運(yùn) 營 商網(wǎng)站 高 危漏洞 占比 最多 ， 為 %， 生產(chǎn)制造為 %。 從高危漏洞修復(fù)率 來 看， 政府機(jī)關(guān) 網(wǎng) 站同樣 是 修復(fù)最 高 的。 ? 從高危漏 洞 網(wǎng)站來 看 ， 社 會團(tuán) 體 網(wǎng) 站高危 漏 洞占比 最 多 ， 為 %， 企 業(yè)網(wǎng) 站 為 %， 事業(yè)單位 網(wǎng) 站為 %，政府機(jī) 關(guān) 網(wǎng)站為 %， 個 人網(wǎng)站為 %。 網(wǎng)站安全漏洞行業(yè)分析 ? 2020 年（截止 11 月 15 日）補(bǔ)天平臺收錄的不 同備 案網(wǎng)站的 漏 洞總量為 23982 個（共 涉及 22929 個網(wǎng)站）， 其 中高危 漏 洞為 10719 個。 ? 一周之內(nèi) 漏 洞攻擊 的 分布統(tǒng)計(jì) ， 星期四 是 一周中 漏洞 攻擊最為 集 中的一天 ， 占總攻 擊 量 中的 %，而周六的 攻 擊量則 相 對 最 少 ， 僅占總 攻 擊量的 %。 ? 2020 年發(fā)起漏洞攻擊 最 多的十 大 城市 。 ? %攻擊者 IP 來自境 外 地 區(qū)。 ? 從發(fā)起漏 洞 攻擊 IP 的地域 分 布來看， %攻擊者 IP 來自境內(nèi) 地 區(qū)。其中， %的受害 者 來自加拿 大 ，排在 第 一位， 其 次是 美國（ %）、韓國（ %）、 羅 馬利亞（ %） 、日本（ %）等。 其中 ， %來自 北 京 ， 居 于首位 ， 其 次 分別為 浙 江 （ %）、 四川（ %）、廣東（ %）、 江 蘇（ %）等。 平 均每月有 萬個網(wǎng)站遭遇 各 類漏 洞 攻擊， 與 2020 年平均每月 萬個 相 比下降了 %。 6 月和 7 月 是攻擊量 最 大的三 個 月 。 網(wǎng)站漏洞攻擊分析 ? 2020 年 （截至 11 月 15 日 ）， 360 網(wǎng)站衛(wèi)士共 攔 截各 類 網(wǎng)站漏洞 攻 擊 億次 ， 較 2020 年 億次，增長 了 約 %。 ? 對 2020 年補(bǔ)天平臺 的 備案網(wǎng) 站 漏洞的 抽 樣調(diào) 查 顯示 ，平均漏 洞 修復(fù)率 僅 為 %。 相 比 而言 ， 沒 有備案 的 網(wǎng)站存 在 的 漏 洞中 ， 通 用 型漏洞 比 例 %，事 件型漏洞 比 例為 %。 高危漏 洞 占 %，中危漏洞占 %， 低危漏洞占 %。從網(wǎng)站角 度 看，備 案 網(wǎng)站有 22929 個，占比為 %，未 備 案或備 案 已過期 的 網(wǎng)站占 比 為 %。 ? 2020 年被報告漏洞的 備 案網(wǎng)站 中 ，有 %的網(wǎng)站 已 加入補(bǔ)天 ， %的網(wǎng)站 未 加入。 ? 應(yīng)用程序 錯 誤信 息 （ %）、 異常頁面 導(dǎo) 致服務(wù) 器路 徑泄 露 （ %） 和跨站腳本 攻 擊 漏洞（ %）這三類是 占 比最 高 的網(wǎng)站 安 全漏洞 ， 之 和 超過 總 次數(shù)的 60%。 ? 360 網(wǎng)站安全檢測 平 臺全年 共 掃描發(fā) 現(xiàn) 網(wǎng)站高 危 漏洞 萬次 ， 較 2020 年 萬次 大幅增長 80%， 平均 每 月掃出 高 危漏 洞 約 萬次 ； 平 均每天掃 出 高危漏 洞 約 萬次。 2020 年 中國網(wǎng) 站 安 全 漏洞 形勢分 析 報告 2017 年 1 月 5 日 摘 要 網(wǎng)站掃描漏洞分析 ? 2020 年全年（截至 11 月 15 日）， 360 網(wǎng)站 安 全檢 測 平臺共掃 描 各類網(wǎng)站 萬個， 其中，存 在 漏洞的網(wǎng)站 萬個， 占 比為 %；存在高危漏 洞 的網(wǎng)站 萬個（全 年去重） ， 占掃描 網(wǎng) 站總數(shù)的 %。 ? 從檢測出 漏 洞的危 險 等 級 來看 ， 高 危漏 洞 數(shù)量占 %， 中危占 %， 低危占 %。 3 月份是掃出 高 危漏洞 最 多的月 份 ，數(shù) 量 達(dá)到 萬次。 人工挖掘漏洞分析 ? 2020 年 1 月 1 日 11 月 15 日，補(bǔ)天平臺公有 SRC 共 收錄各類 網(wǎng) 站安全漏洞 32277 個， 私有 SRC（含 眾 測）收 錄 漏洞 4911 個，總 共 漏洞 數(shù) 為 37188 個；從涉及 web 站點(diǎn)看， 補(bǔ)天平臺 收 錄的漏 洞 涉及網(wǎng) 站 （按域 名 統(tǒng)計(jì)）共 30329 個。 ? 2020 年補(bǔ)天平臺收錄 的 漏洞 中 ， 備案 網(wǎng) 站的 漏 洞有 23982 個 ， 占比為 %， 未 備 案或 備案已過 期 的網(wǎng)站 漏 洞 有 8295 個，占比為 %。 ? 2020 年補(bǔ)天平臺收錄 的 網(wǎng)站漏 洞 中 ， 通 用型漏 洞 占 比 為 %， 相比 2020 年 的 （ %） 有所下降 。 ? 從漏洞性 質(zhì) 看 ， 在 備 案的網(wǎng) 站 中 ， 通 用 型漏洞 比 例很 低 ， 僅為 %， 絕大多 數(shù) 漏 洞 （ %） 為事件型 漏 洞 。 ? 從補(bǔ)天平 臺 收錄漏 洞 的具體 類 型來看， SQL 注入漏 洞 最多，占比為 %，其 次 是命令 執(zhí)行和弱 口 令，分 別 占 %和 %。 ? 根據(jù)廠商 明 確標(biāo)記 已 修復(fù)的 網(wǎng) 站漏洞中 ， 1 天 內(nèi)修 復(fù) 的比例為 %， 一周以 內(nèi) 修復(fù)的比 例為 %，一個月內(nèi) 修 復(fù)的比 例 為 %，超過 30 天才修