2015年中国网站安全报告要点梳理

　　网站漏洞

　　2015年全年，360网站安全检测平台共扫描各类网站231.2万个；其中，存在安全漏洞的网站为101.5万个，占扫描网站总数的43.9%；存在高危安全漏洞的网站共有30.8万个，占扫描网站总数的13.0%。

　　360网站安全检测平台全年共扫描发现网站高危漏洞265.1万次，较2014年的462.1万次下降了约一半；扫描发现网站高危漏洞的比例为21.7%，中危占10.2%，低危占68.1%。与2014年相比，今年高、中危漏洞扫出比例大幅下降。

　　2015年（截至11月18日）补天共收录的各类网站漏洞总数为37943个，平均每月3161个。其中，高危漏洞占比为71.2%；从漏洞性质上看，事件型漏洞占86.3%，通用型漏洞占比13.7%。

　　网站修复安全漏洞比例极低，仅为4.7%；在已修复的比例中，24小时内修复的比例为10.3%，2-3天内修复的比例为14.1%，4-7天内修复的比例为23.8%，其余修复周期大于一周（7天）的占一半以上。

　　网站篡改与后门

　　2015年全年，360网站安全检测平台共扫描各类网站231.2万个，其中，被篡改的网站8.4万个，约占扫描网站总数的3.6%，网站遭篡改情况明显好转。

　　2015年全年，360网站安全检测共对21854台网站服务器进行了网站后门检测，覆盖网站322.3万个，扫描共发现约4097台服务器存在后门，占所有扫描网站服务器的18.7%。

　　2015已扫出各类网站后门文件样本数量多达858.1万个，与2014年“一句话木马”占到了网站后门69.2%的情况不同，今年恶意SEO后门的占比最高，为45.0%；不过感染网站服务器最多的木马依然是“一句话木马”。

　　漏洞攻击

　　2015年全年，360网站卫士共拦截各类网站漏洞攻击16.5亿次，平均每月拦截漏洞攻击近1.4亿次。

　　2015年平均每月有17.1万个网站遭遇各类漏洞攻击，其中，1月是网站遭遇漏洞攻击最为频繁的一个月，平均每天约有8290个网站遭到漏洞攻击。

　　从攻击类型看，2015年，SQL注入攻击最多，拦截次数超过8亿次，其次为Nginx漏洞攻击、命令注入攻击（Common Vulnerability）。

　　从发起漏洞攻击IP的地域分布来看，90.2%攻击者IP来自境内地区，来自境外的攻击仅为9.8%，境内占比较2014年增长1.2个百分点；其中，境内攻击者IP归属地排名前三依次是：浙江31.5%、江苏28.3%、北京19.0%。境外攻击者IP归属地排名前三依次是：法国43.5%、美国29.8%、荷兰3.0%。

　　从遭到漏洞攻击IP的地域分布来看，95.7%受害者IP为境内地区IP，境外的受害者仅为4.3%。其中，境内遭到漏洞攻击最多的地区是北京17.7%、江苏13.2%和山东11.0%。

　　网站安全性行业分析

　　2015年补天平台已收录的网站漏洞中，备案网站的漏洞为28040个，占比为73.9%，未备案或备案已过期的网站漏洞9903个，占比为26.1%。漏洞共涉及22084个网站。

　　从漏洞性质看，没有备案的网站存在的漏洞中，通用型漏洞比例达到52.1%，而备案网站中通用型漏洞比例很低，仅为0.2%，说明备案网站的安全性明显高于未备案网站。

　　从五种不同备案类型看，企业网站报告的漏洞最多，达14981个，高危漏洞10092个，漏洞涉及11453家企业网站；其次是事业单位网站，被报漏洞6504个，高危漏洞4339个，漏洞涉及5179家事业单位网站；政府网站排第三，被报漏洞3941个，高危漏洞2805个，漏洞涉及3315家政府网站。

　　从修复率上看，企业网站的修复率是最高的，但也只有6.5%；政府网站的漏洞修复率在所有备案类型网站中排名垫底，仅为1.8%；这与普通网民对政府网站的信赖度相对较高的情况非常不相称。

　　在七类行业网站中，共有漏洞5995个，涉及网站4280个。IT/互联网行业网站被报告的漏洞最多，达到2330个，高危漏洞1463个，漏洞涉及网站1535个；其次为教育培训，被报漏洞1169个，高危漏洞741个，漏洞涉及网站914个；汽车交通排第三，被报漏洞799个，高危漏洞525个，漏洞涉及网站625个。

　　从修复率上看，金融行业网站的修复率最高，但也仅为17.3%。其他修复率超过10%的行业有两个，分别为IT/互联网、汽车交通。而教育、能源、医疗卫生三个细分行业的修复情况不容乐观，修复率仅约为1.8%-3.4%之间。

　　个人信息泄漏

　　补天平台统计显示，2015年共有1410个漏洞可能造成网站上的个人信息泄露，这些漏洞共涉及网站1282个，可能或已造成泄露的个人信息量高达55.3亿条。

　　补天平台中的泄露信息漏洞中，共有4个漏洞可以造成1亿条以上的个人信息泄露，可能泄露个人信息量在6000万到1亿之间的漏洞共有11个。

　　存在泄露信息漏洞的1068个备案网站中，企业网站占比最高，达63.0%，政府、事业单位、个人、社会团体网站的占比分别为20.1%、11.8%、4.1%和1.1%。

　　行业对比方面，IT/互联网网站可能泄漏的个人信息最多，为5.23亿条；其次是医疗卫生网站2.40亿条；电信运营商1.97亿条；金融理财网站1.10亿条；汽车交通网站5418万条；教育培训2462万条。

　　行业对比方面，从平均每个漏洞泄露的信息量来看，医疗卫生行业排在首位，平均每个泄露信息漏洞可能导致961万条个人信息泄露，其次是电信运营商563万条/洞，IT/互联网291万条/洞。

　　行业对比方面，从泄露信息漏洞的修复率来看，金融理财网站的修复率最高，达34.1%；其次是IT/互联网10.6%；接下来依次是汽车交通6.9%，电信运营商2.9%。医疗卫生和教育培训类网站的泄露信息漏洞修复率为0。

　　补天年报

　　2015年，补天平台共收到2035名“白帽子”提交的有效漏洞37943个，其中有581名白帽子获得奖金共计227.3万元；事件型漏洞付款金额为70.6万元，通用型漏洞付款金额为156.7万元。

　　2015年，补天平台获奖的白帽子中，“合肥滨湖虎子”获得奖金金额最高，已经连续三年排名第一。该名白帽子共提交漏洞431个，获得奖金123800元。

　　2015年，共有57名女性白帽子提交了817个漏洞，其中有18名女性白帽子，获得了共2.5万元的奖励。女性在白帽子中仍然是非常稀缺的资源。

　　根据白帽子的注册信息统计，在2015年向补天平台提交漏洞的白帽子中，年龄最小的13岁，年龄最大的78岁。90后比例达67.8%。

　　网站安全热点与趋势

　　2015年网站安全热点问题主要集中在以下几个方面：信息泄漏、物联网、车联网、P2P金融、O2O本地服务、Java反序列化漏洞、weblogic弱口令漏洞和登陆验证机制缺陷等几个方面。

　　2015年网站安全技术主要有以下几个前沿趋势：一、数据驱动安全将引领技术潮流；二、威胁情报将成市场关注的焦点；三、机器学习与可视化技术迅速发展；四、云平台将涌现更多“安全即服务”形式。