近日,网站安全专家安全宝发布了《2012年网站安全统计报告》。报告指出,2012年度受国内用户热捧的开源程序频频爆出高危漏洞,电子商务网站成为重点***对象,大量网民信息遭受泄露威胁。在严峻的安全形势下,安全宝建议Web网站用户加强安全防护手段,避免被***者乘虚而入。

  安全宝报告指出:自从Web2.0问世以来,Web产品逐渐走向开源化,然而,在低成本的背后却引发了越来越多针对这些开源程序进行的恶意***。因此,通过数据分析来深入揭示Web安全威胁的新特点,把握Web安全市场发展的新趋势就变得非常必要。安全宝作为国内第一家采用零部署的云计算技术一站式解决各种安全问题的高科技企业,通过使用指纹识别技术,可以精确的分析这些数据背后所展现的Web漏洞***趋势。

  安全宝发现,Web漏洞在2012年呈现出以下三点特征:

  一、遭受***最多的程序为dedecms

  从受***网站类型分析,遭受***最多的程序为dedecms,其主要存在“dedecmssearch.php文件注入”与“dedecmsajax_membergroup注入”这两种漏洞,两者占总体***数量比例为24.78%,涉及网站比例则高达77.91%。

  

  安全宝报告指:dedecms之所以成为******的众矢之的,一方面是因为dedecms是知名的PHP网站管理系统之一,使用人数广泛,这吸引了众多网络***者的注意;另一方面,dedecms是一个开源系统,不但很多源码直接暴露在网络***者面前,而且其程序漏洞在众多网站中保持着相当高的一致性,这就大幅降低了网络***的难度。

  二、SQL注入与XSS跨站脚本***占据半壁江山

  在近两年,虽然SQL注入***有所减少,但是依然是Web程序的一个主要威胁。从数据中我们可以看出,在***方式中,SQL注入以36.5%的比例位居榜首。***通过SQL注入***,可以操控数据库、篡改数据,甚至进一步***服务器,危害较大。

 

  其次是任意文件读取和跨站脚本***,任意文件读取是指***通过目录跳转,查看文件内容。跨站脚本***也叫XSS,***通过XSS***可以盗取用户账号信息,网站挂马操作等,XSS***在owasp top10中位居第二的位置也说明了其危害性不容小视。

  三、电子商务网站安全性薄弱,成为***重点的对像

  从2012年热点漏洞***次数TOP10统计数据来看,排名第一的“淘宝客7.4 huangou.php注入漏洞”以及排名第四的“shopxp TEXTBOX2.ASP注入”漏洞都针对的是电子商务中的商城程序。而从部分电商的漏洞分析数据中,我们也可以看出,高危、中危漏洞分布广泛,这凸显了电子商务网站所面临的安全困境。

  安全宝报告指出,电子商务网站的安全之所以薄弱,是因为中小型电子商务网站参与者众多,既缺乏安全编程的开发经验,也缺少相关投入的资金支持。而且,电子商务网站普遍存在重内容轻安全建设与安全管理的问题,很多网站用通用模板进二次开发,存在很多已知漏洞和安全隐患。

  

  此外,安全宝还监测到以下一些***,其***手法、地理特征和修复难题或将成为2013年网站用户的防御重点:

  1、远程拒绝服务类***大量上升

  DDoS是最常见的***手法,而且更直接、更有效。随着网络带宽的应用发展,几台傀儡PC主机就可以通过CC***完成对中小型网站的***。

  2、中国境内近一半 DDoS ***的受害者位于北上广地区

  安全宝处理过的DDoS流量***在地域上基本覆盖了互联网全部产业较发达的地区,其中近一半受害者来自互联网产业比较发达的北、上、广地区。互联网行业的残酷竞争是这些地区DDoS流量***高发的直接诱因。

  3、大部分网站发现漏洞或被***后难以自我修补

  随着新漏洞不断涌现,新的自动化***方法不断发展,Web应用漏洞的威胁越来越大。而中小型网站在安全技术、知识、经验等方面的储备都非常有限,很难在发现Web应用漏洞时采取有效的防范措施。

  安全宝希望通过一系列的权威安全数据和曝光漏洞引起网站用户的高度注意,同时也建议用户寻求专业的网站安全公司共同御敌,并使用安全宝网站安全系统等优秀的网站安全防护系统来应对漏洞的威胁。安全宝网站系统采用了领先的零部署、零维护云计算技术技术,可以使用“替身系统”周全的保护用户的原始服务器,关闭因为Web漏洞敞开的***大门。