某市企业网站安全防护情况调查分析 – 作者:TideSec

1.1  概述

为了掌握某市大、中、小、微企业网站的网络安全防护情况,我们组织人员对某市企业网站信息进行收集汇总并进行调查分析。

本次调查主要针对网站暗链、敏感字、是否采用开源CMS、是否部署WAF等防护设备、开放端口等内容,从而全面的了解企业网站的防护现状。

某省中小型企业共约240万家,而某市工商局登记的某市企业共约32万,我们从工商部门获知登记了企业网站的企业共有34000家左右,由于数据量较大,我们从中随机抽选了3000家网站作为本次调查对象。

1_meitu_1.jpg

1.2  敏感字检测结果

我们使用网站安全监测平台,对3000个站点进行了主要页面爬取,并对其中的敏感字和暗链进行检测。检测数据如下:

2_meitu_2.jpg

3_meitu_4.jpg

部分站点被修改了网站首页,如:

图片.png

图片.png

部分站点被直接植入了暗链,如:

图片.png

6_meitu_6.jpg

图片.png

对检测结果进行汇总,情况如下:

检测项 篡改首页 植入暗链 包含敏感字
站点数量 120 260 430

整体情况表图如下:

图片.png

1.3  WAF部署情况

目前网站前端防护措施中,各种WAF设备是普及率比较高而且防护效果相对比较好的,而WAF又包括了云WAF(云盾、创宇盾等)、硬WAF(安恒WAF、启明星辰WAF设备等)、软WAF(安全狗、modsecurity等)。

我们使用自主研发的WafDetect工具和开源的wafw00f相结合,对目标站点进行批量检测,探测是否使用WAF等防护设备。

7_meitu_7.jpg

8_meitu_8.jpg

经过测试,3000个站点WAF部署情况如下。

分类 部署WAF 未部署WAF 情况未知
数量 523 2263 214

其中情况未知部分是由于网站访问超时或无法访问的结果。

而部署了WAF的523个站点使用的WAF类型分布如下。

云WAF 硬WAF 软WAF
数量 265 48 187

汇总后的WAF部署情况汇总如下表。

图片.png

说明大部分企业为了节省成本,在网站安全防护中只是投入了较少的资金或未投入资金,就算是部署了WAF防护也是大多使用了云WAF或软WAF。

1.4  开源CMS使用情况

开源CMS虽然具有快速部署、接口丰富、功能完善等优点,但也存在一旦爆发通用型漏洞会直接影响所有使用该CMS的网站,再加上企业网站一般不会及时升级,导致很多使用了开源CMS的网站都或多或少存在漏洞。

我们使用指纹识别技术对网站进行识别分析,主要是对常见CMS如帝国CMS、phpcms、jeecms、dedecms等200多种通用CMS进行识别。

9_meitu_9.jpg

10_meitu_10.jpg

经过检测,3000个站点通用CMS使用情况如下。

分类 通用CMS 其他
数量 1875 1125

而使用了通用CMS的种类分布如下。

分类 帝国CMS Phpcms DedeCMS jeecms discuz wordpress 其它
数量 489 175 164 98 67 139 743

汇总后的通用CMS使用情况汇总如下表。

图片.png

经统计,发现近2/3的网站使用了通用的CMS做网站框架,部分进行了二次开发或功能定制,但核心模块仍为通用CMS,一旦出现通用型的CMS漏洞网站很容易受到威胁。

1.5  开放端口情况统计

我们使用端口扫描工具对端口开放情况进行了统计,从而了解网站开放服务情况、网站系统架构、易受威胁程度等。

经过检测,发现大部分网站开放了1-4个端口,小部分网站开放端口较多。部分检测数据如下:

11_meitu_11.jpg

12_meitu_12.jpg

经过检测,3000个站点端口开放情况如下。

端口数量 1个端口 2-4个端口 4-10个端口 10个以上
站点数量 461 1922 530 87

对开放的端口进行统计,排序如下:

端口 80 8080 22 3389 21 139 445
数量 2750 412 458 864 67 291 346

端口开放汇总图表如下:

图片.png

 

1.6  调查结论

1、企业网站的内容更新相对较慢,在检测中我们发现有些网站被篡改页面或植入暗链长达数月之久,但网站所属企业并没有对网站进行修复,说明企业并不知道网站被入侵或者并不想修复。

2、企业网站防护措施相比政府金融等网站非常薄弱,只有极少部分的中大型企业才会投资硬件设备进行安全防护,其他采用云防护或软WAF防护的企业相对数量也较少,说明企业对网站自身的安全重视程度还不够。

3、近三分之二的企业网站使用了通用的CMS做网站框架,部分进行了二次开发或功能定制,但核心模块仍为通用CMS,一旦出现通用型的CMS漏洞网站很容易受到威胁。而通用CMS的确能大大节省网站的开发成本,这也说明企业在网站建设方面的投资还是较为有限。

4、从端口开放情况来看,大部分网站开放了3389和22端口进行远程维护。同时也间接说明windows服务器数量和linux类服务器的数量比大约为2:1,而windows服务器仍有较大一部分开放了139和445等端口,而近两年爆发的windows高危溢出漏洞很多都是通过这两个端口进行传播

关注我们

Tide安全团队正式成立于2019年1月,是以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号:

1551433162_5c78fdca9fae9.jpg

来源:freebuf.com 2019-05-05 21:59:47 by: TideSec

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论