網(wǎng)站漏洞

　　2015年全年，360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站231.2萬個；其中，存在安全漏洞的網(wǎng)站為101.5萬個，占掃描網(wǎng)站總數(shù)的43.9%；存在高危安全漏洞的網(wǎng)站共有30.8萬個，占掃描網(wǎng)站總數(shù)的13.0%。

　　360網(wǎng)站安全檢測平臺全年共掃描發(fā)現(xiàn)網(wǎng)站高危漏洞265.1萬次，較2014年的462.1萬次下降了約一半；掃描發(fā)現(xiàn)網(wǎng)站高危漏洞的比例為21.7%，中危占10.2%，低危占68.1%。與2014年相比，今年高、中危漏洞掃出比例大幅下降。

　　2015年（截至11月18日）補天共收錄的各類網(wǎng)站漏洞總數(shù)為37943個，平均每月3161個。其中，高危漏洞占比為71.2%；從漏洞性質(zhì)上看，事件型漏洞占86.3%，通用型漏洞占比13.7%。

　　網(wǎng)站修復(fù)安全漏洞比例極低，僅為4.7%；在已修復(fù)的比例中，24小時內(nèi)修復(fù)的比例為10.3%，2-3天內(nèi)修復(fù)的比例為14.1%，4-7天內(nèi)修復(fù)的比例為23.8%，其余修復(fù)周期大于一周（7天）的占一半以上。

　　網(wǎng)站篡改與后門

　　2015年全年，360網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站231.2萬個，其中，被篡改的網(wǎng)站8.4萬個，約占掃描網(wǎng)站總數(shù)的3.6%，網(wǎng)站遭篡改情況明顯好轉(zhuǎn)。

　　2015年全年，360網(wǎng)站安全檢測共對21854臺網(wǎng)站服務(wù)器進行了網(wǎng)站后門檢測，覆蓋網(wǎng)站322.3萬個，掃描共發(fā)現(xiàn)約4097臺服務(wù)器存在后門，占所有掃描網(wǎng)站服務(wù)器的18.7%。

　　2015已掃出各類網(wǎng)站后門文件樣本數(shù)量多達858.1萬個，與2014年“一句話木馬”占到了網(wǎng)站后門69.2%的情況不同，今年惡意SEO后門的占比最高，為45.0%；不過感染網(wǎng)站服務(wù)器最多的木馬依然是“一句話木馬”。

　　漏洞攻擊

　　2015年全年，360網(wǎng)站衛(wèi)士共攔截各類網(wǎng)站漏洞攻擊16.5億次，平均每月攔截漏洞攻擊近1.4億次。

　　2015年平均每月有17.1萬個網(wǎng)站遭遇各類漏洞攻擊，其中，1月是網(wǎng)站遭遇漏洞攻擊最為頻繁的一個月，平均每天約有8290個網(wǎng)站遭到漏洞攻擊。

　　從攻擊類型看，2015年，SQL注入攻擊最多，攔截次數(shù)超過8億次，其次為Nginx漏洞攻擊、命令注入攻擊（Common Vulnerability）。

　　從發(fā)起漏洞攻擊IP的地域分布來看，90.2%攻擊者IP來自境內(nèi)地區(qū)，來自境外的攻擊僅為9.8%，境內(nèi)占比較2014年增長1.2個百分點；其中，境內(nèi)攻擊者IP歸屬地排名前三依次是：浙江31.5%、江蘇28.3%、北京19.0%。境外攻擊者IP歸屬地排名前三依次是：法國43.5%、美國29.8%、荷蘭3.0%。

　　從遭到漏洞攻擊IP的地域分布來看，95.7%受害者IP為境內(nèi)地區(qū)IP，境外的受害者僅為4.3%。其中，境內(nèi)遭到漏洞攻擊最多的地區(qū)是北京17.7%、江蘇13.2%和山東11.0%。

　　網(wǎng)站安全性行業(yè)分析

　　2015年補天平臺已收錄的網(wǎng)站漏洞中，備案網(wǎng)站的漏洞為28040個，占比為73.9%，未備案或備案已過期的網(wǎng)站漏洞9903個，占比為26.1%。漏洞共涉及22084個網(wǎng)站。

　　從漏洞性質(zhì)看，沒有備案的網(wǎng)站存在的漏洞中，通用型漏洞比例達到52.1%，而備案網(wǎng)站中通用型漏洞比例很低，僅為0.2%，說明備案網(wǎng)站的安全性明顯高于未備案網(wǎng)站。

　　從五種不同備案類型看，企業(yè)網(wǎng)站報告的漏洞最多，達14981個，高危漏洞10092個，漏洞涉及11453家企業(yè)網(wǎng)站；其次是事業(yè)單位網(wǎng)站，被報漏洞6504個，高危漏洞4339個，漏洞涉及5179家事業(yè)單位網(wǎng)站；政府網(wǎng)站排第三，被報漏洞3941個，高危漏洞2805個，漏洞涉及3315家政府網(wǎng)站。

　　從修復(fù)率上看，企業(yè)網(wǎng)站的修復(fù)率是最高的，但也只有6.5%；政府網(wǎng)站的漏洞修復(fù)率在所有備案類型網(wǎng)站中排名墊底，僅為1.8%；這與普通網(wǎng)民對政府網(wǎng)站的信賴度相對較高的情況非常不相稱。

　　在七類行業(yè)網(wǎng)站中，共有漏洞5995個，涉及網(wǎng)站4280個。IT/互聯(lián)網(wǎng)行業(yè)網(wǎng)站被報告的漏洞最多，達到2330個，高危漏洞1463個，漏洞涉及網(wǎng)站1535個；其次為教育培訓(xùn)，被報漏洞1169個，高危漏洞741個，漏洞涉及網(wǎng)站914個；汽車交通排第三，被報漏洞799個，高危漏洞525個，漏洞涉及網(wǎng)站625個。

　　從修復(fù)率上看，金融行業(yè)網(wǎng)站的修復(fù)率最高，但也僅為17.3%。其他修復(fù)率超過10%的行業(yè)有兩個，分別為IT/互聯(lián)網(wǎng)、汽車交通。而教育、能源、醫(yī)療衛(wèi)生三個細分行業(yè)的修復(fù)情況不容樂觀，修復(fù)率僅約為1.8%-3.4%之間。

　　個人信息泄漏

　　補天平臺統(tǒng)計顯示，2015年共有1410個漏洞可能造成網(wǎng)站上的個人信息泄露，這些漏洞共涉及網(wǎng)站1282個，可能或已造成泄露的個人信息量高達55.3億條。

　　補天平臺中的泄露信息漏洞中，共有4個漏洞可以造成1億條以上的個人信息泄露，可能泄露個人信息量在6000萬到1億之間的漏洞共有11個。

　　存在泄露信息漏洞的1068個備案網(wǎng)站中，企業(yè)網(wǎng)站占比最高，達63.0%，政府、事業(yè)單位、個人、社會團體網(wǎng)站的占比分別為20.1%、11.8%、4.1%和1.1%。

　　行業(yè)對比方面，IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個人信息最多，為5.23億條；其次是醫(yī)療衛(wèi)生網(wǎng)站2.40億條；電信運營商1.97億條；金融理財網(wǎng)站1.10億條；汽車交通網(wǎng)站5418萬條；教育培訓(xùn)2462萬條。

　　行業(yè)對比方面，從平均每個漏洞泄露的信息量來看，醫(yī)療衛(wèi)生行業(yè)排在首位，平均每個泄露信息漏洞可能導(dǎo)致961萬條個人信息泄露，其次是電信運營商563萬條/洞，IT/互聯(lián)網(wǎng)291萬條/洞。

　　行業(yè)對比方面，從泄露信息漏洞的修復(fù)率來看，金融理財網(wǎng)站的修復(fù)率最高，達34.1%；其次是IT/互聯(lián)網(wǎng)10.6%；接下來依次是汽車交通6.9%，電信運營商2.9%。醫(yī)療衛(wèi)生和教育培訓(xùn)類網(wǎng)站的泄露信息漏洞修復(fù)率為0。

　　補天年報

　　2015年，補天平臺共收到2035名“白帽子”提交的有效漏洞37943個，其中有581名白帽子獲得獎金共計227.3萬元；事件型漏洞付款金額為70.6萬元，通用型漏洞付款金額為156.7萬元。

　　2015年，補天平臺獲獎的白帽子中，“合肥濱湖虎子”獲得獎金金額最高，已經(jīng)連續(xù)三年排名第一。該名白帽子共提交漏洞431個，獲得獎金123800元。

　　2015年，共有57名女性白帽子提交了817個漏洞，其中有18名女性白帽子，獲得了共2.5萬元的獎勵。女性在白帽子中仍然是非常稀缺的資源。

　　根據(jù)白帽子的注冊信息統(tǒng)計，在2015年向補天平臺提交漏洞的白帽子中，年齡最小的13歲，年齡最大的78歲。90后比例達67.8%。

　　網(wǎng)站安全熱點與趨勢

　　2015年網(wǎng)站安全熱點問題主要集中在以下幾個方面：信息泄漏、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、P2P金融、O2O本地服務(wù)、Java反序列化漏洞、weblogic弱口令漏洞和登陸驗證機制缺陷等幾個方面。

　　2015年網(wǎng)站安全技術(shù)主要有以下幾個前沿趨勢：一、數(shù)據(jù)驅(qū)動安全將引領(lǐng)技術(shù)潮流；二、威脅情報將成市場關(guān)注的焦點；三、機器學(xué)習(xí)與可視化技術(shù)迅速發(fā)展；四、云平臺將涌現(xiàn)更多“安全即服務(wù)”形式。