1.1 概述
为了掌握某市大、中、小、微企业网站的网络安全防护情况,我们组织人员对某市企业网站信息进行收集汇总并进行调查分析。
本次调查主要针对网站暗链、敏感字、是否采用开源CMS、是否部署WAF等防护设备、开放端口等内容,从而全面的了解企业网站的防护现状。
某省中小型企业共约240万家,而某市工商局登记的某市企业共约32万,我们从工商部门获知登记了企业网站的企业共有34000家左右,由于数据量较大,我们从中随机抽选了3000家网站作为本次调查对象。
1.2 敏感字检测结果
我们使用网站安全监测平台,对3000个站点进行了主要页面爬取,并对其中的敏感字和暗链进行检测。检测数据如下:
部分站点被修改了网站首页,如:
部分站点被直接植入了暗链,如:
对检测结果进行汇总,情况如下:
检测项 | 篡改首页 | 植入暗链 | 包含敏感字 |
站点数量 | 120 | 260 | 430 |
整体情况表图如下:
1.3 WAF部署情况
目前网站前端防护措施中,各种WAF设备是普及率比较高而且防护效果相对比较好的,而WAF又包括了云WAF(云盾、创宇盾等)、硬WAF(安恒WAF、启明星辰WAF设备等)、软WAF(安全狗、modsecurity等)。
我们使用自主研发的WafDetect工具和开源的wafw00f相结合,对目标站点进行批量检测,探测是否使用WAF等防护设备。
经过测试,3000个站点WAF部署情况如下。
分类 | 部署WAF | 未部署WAF | 情况未知 |
数量 | 523 | 2263 | 214 |
其中情况未知部分是由于网站访问超时或无法访问的结果。
而部署了WAF的523个站点使用的WAF类型分布如下。
云WAF | 硬WAF | 软WAF | |
数量 | 265 | 48 | 187 |
汇总后的WAF部署情况汇总如下表。
说明大部分企业为了节省成本,在网站安全防护中只是投入了较少的资金或未投入资金,就算是部署了WAF防护也是大多使用了云WAF或软WAF。
1.4 开源CMS使用情况
开源CMS虽然具有快速部署、接口丰富、功能完善等优点,但也存在一旦爆发通用型漏洞会直接影响所有使用该CMS的网站,再加上企业网站一般不会及时升级,导致很多使用了开源CMS的网站都或多或少存在漏洞。
我们使用指纹识别技术对网站进行识别分析,主要是对常见CMS如帝国CMS、phpcms、jeecms、dedecms等200多种通用CMS进行识别。
经过检测,3000个站点通用CMS使用情况如下。
分类 | 通用CMS | 其他 |
数量 | 1875 | 1125 |
而使用了通用CMS的种类分布如下。
分类 | 帝国CMS | Phpcms | DedeCMS | jeecms | discuz | wordpress | 其它 |
数量 | 489 | 175 | 164 | 98 | 67 | 139 | 743 |
汇总后的通用CMS使用情况汇总如下表。
经统计,发现近2/3的网站使用了通用的CMS做网站框架,部分进行了二次开发或功能定制,但核心模块仍为通用CMS,一旦出现通用型的CMS漏洞网站很容易受到威胁。
1.5 开放端口情况统计
我们使用端口扫描工具对端口开放情况进行了统计,从而了解网站开放服务情况、网站系统架构、易受威胁程度等。
经过检测,发现大部分网站开放了1-4个端口,小部分网站开放端口较多。部分检测数据如下:
经过检测,3000个站点端口开放情况如下。
端口数量 | 1个端口 | 2-4个端口 | 4-10个端口 | 10个以上 |
站点数量 | 461 | 1922 | 530 | 87 |
对开放的端口进行统计,排序如下:
端口 | 80 | 8080 | 22 | 3389 | 21 | 139 | 445 |
数量 | 2750 | 412 | 458 | 864 | 67 | 291 | 346 |
端口开放汇总图表如下:
1.6 调查结论
1、企业网站的内容更新相对较慢,在检测中我们发现有些网站被篡改页面或植入暗链长达数月之久,但网站所属企业并没有对网站进行修复,说明企业并不知道网站被入侵或者并不想修复。
2、企业网站防护措施相比政府金融等网站非常薄弱,只有极少部分的中大型企业才会投资硬件设备进行安全防护,其他采用云防护或软WAF防护的企业相对数量也较少,说明企业对网站自身的安全重视程度还不够。
3、近三分之二的企业网站使用了通用的CMS做网站框架,部分进行了二次开发或功能定制,但核心模块仍为通用CMS,一旦出现通用型的CMS漏洞网站很容易受到威胁。而通用CMS的确能大大节省网站的开发成本,这也说明企业在网站建设方面的投资还是较为有限。
4、从端口开放情况来看,大部分网站开放了3389和22端口进行远程维护。同时也间接说明windows服务器数量和linux类服务器的数量比大约为2:1,而windows服务器仍有较大一部分开放了139和445等端口,而近两年爆发的windows高危溢出漏洞很多都是通过这两个端口进行传播
关注我们
Tide安全团队正式成立于2019年1月,是以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号:
来源:freebuf.com 2019-05-05 21:59:47 by: TideSec
请登录后发表评论
注册