某市高新区中小型企业网站安全现状分析 – 作者:TideSec

1.1  概述

为了掌握某市高新区中小企业网站的网络安全整体情况,我们组织人员从某市高新区9700多个中小型企业网站(网站列表由高新区工商部门提供)中随机抽选了466个网站进行安全扫描,并对其中的41个网站进行人工漏洞核查。通过安全扫描和人工核查,尝试分析某市中小型企业网站的整体安全情况。

1.2  网站部署情况

我们对随机抽选的466个站点进行了简单分析,发现大部分站点为自建或租用云服务自建,而部分站点使用了淘宝、1688或京东这一类在线商城作为官方站点,还有的使用了china.cn、biz72.com等商务网站联盟作为官方站点。

图片.png

图片.png

我们对该数据进行分析汇总,结果如下。

图片.png

由于采用在线商城和网站联盟的系统安全性主要由所属平台决定,所以不在我们此次安全评估范围之内。

1.3  漏洞扫描结果

由于采用在线商城和网站联盟的系统安全性主要由所属平台决定(74个站点),所以不在我们此次工具扫描范围之内。本次利用网站安全检测平台共扫描各类中小型企业网站392个,发存在中高危漏洞的网站323个,占比为82.3%。其中存在高危漏洞的网站185个,占扫描网站总数的47.2%。

3_meitu_4.jpg

根据网站风险等级评定标准,我们对网站安全状况进行了分级:高危、中危、低危。

网站风险等级 域名风险值区域
高危站点 7 <= 漏洞风险值 <= 10
中危站点 4<=漏洞风险值< 7
低危站点 0<=漏洞风险值< 4

汇总后的网站整体安全分布如下。

图片.png

而从检测出漏洞的危险等级来看,高危漏洞数量占27%,中危占62%,低危占11%。

图片.png

其中应用程序错误信息(26.5%)、异常页面导致服务器信息泄露(13.2%)和跨站脚本攻击漏洞(18.2%)这三类是占比最高的网站安全漏洞,三者之和超过漏洞总数的50%。

图片.png

1.4  人工检测结果

由于工具检测具有一定的误报率,我们从392个网站中随机抽取41个站点进行漏扫结果核查,抽取的样本如下。

4_meitu_5.jpg

抽选的41个网站安全性工具扫描结果如下:

图片.png

而通过对41个站点的手工检测,对取样后的41个站点手工检测情况,发现其中25个站点存在高危漏洞,10个站点存在中危漏洞,6个站点在安全扫描中未发现漏洞。与工具检测结果相差较大。

手工检测漏洞分布情况如下:

安全级别 高危站点 中危站点 安全站点
人工检测 25 10 6

图片.png

部分检测数据如下:

图片.png图片.png图片.png图片.png图片.png图片.png图片.png图片.png图片.png图片.png图片.png图片.png

而手工检测和工具检测的主要区别在于业务逻辑型漏洞,如越权漏洞、文件上传漏洞、账户枚举漏洞等,同时还有部分常规漏洞的绕过WAF后的检测,如XSS漏洞、SQL注入漏洞、命令执行漏洞等。

图片.png

1.5  漏洞修复情况

在我们发现上述网站漏洞后,及时通报了相关单位。通过后期人工复核,发现其中1天内修复的比例仅为6%,当天未修复但一周以内修复的比例为13%,三周内修复的比例为35%,三周后仍未修复的占45%。

图片.png

1.6  检测结论

1、很多网站设计中只考虑了正常用户稳定使用,而忽略了漏洞的存在。大部分网站开发者和设计人员对网站攻防技术了解甚少,他们在建站中通常只会考虑如何让用户正常使用该网站。这些设计人员几乎不关注安全代码设计,也很少考虑网站应用开发过程中所存在的漏洞。但是网站自身存在的这些漏洞会被黑客不断地被挖掘出来,黑客们也会直接利用这些漏洞直接或间接地获取利益,致使网站蒙受巨大损失。

2、网站缺乏有效的防御措施。很多网站的防御措施过于落后,一些基于特征识别的入侵防御技术和内容过滤技术,并不能很好地抵御黑客攻击,也就达不到保护网站的目的。很好的一个例子就是SQL注入、跨站脚本这种特征不唯一的网站攻击,如果网站采用的是基于特征匹配技术防御攻击,网站攻击并不能精确地被阻断。

3、发现网站安全问题,却不能彻底解决。通过漏洞的修复情况分析,即便是在能够修复漏洞的网站中,仍有近2/3的网站漏洞修复周期过长,修复较为不及时(大于7天),而且大部分网站仅修复高危漏洞,对中低危漏洞一般采取相消极的态度。很多网站开发与设计公司对网站安全代码设计方面了解不多,这也就决定了在网站开发与设计过程中,尽管发现了安全问题,还是不能彻底解决这些安全问题。在发现网站存在安全问题和安全漏洞后,几乎不会针对网站具体的漏洞原理对源代码进行改造。

关注我们

Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号:

1551433162_5c78fdca9fae9.jpg

来源:freebuf.com 2019-04-19 00:42:21 by: TideSec

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论