找回密码
 立即注册

!connect_header_login!

!connect_header_login_tip!

网站建设||微网站||软件开发||中职示范校园网建设|小程序||计算机系统集成||软件开发||OA协同办公||门户网站||西安信息化建设|||安防监控||楼宇对讲|网络办公|||智能软件开发||云服务||IDC||域名注册||云主机||虚拟主机||信息化建设|软件应用||智慧酒店

搜索
不断以卓越的产品和服务满足用户需求
Continue with excellent products and services to meet customer needs
查看内容

这是一份让人心跳加速的漏洞大全:企业网站漏洞数第一,政府第二

2017-12-19 21:43| 发布者: 鎇浟| 查看: 321| 评论: 0

宅客频道想给你讲两个故事。

2017年 3月,多家新闻网站曝出“58同城陷数据泄露:700元可采集网站全部简历信息”的新闻。新闻中提到在淘宝等电商平台上,有人公开出售一些特殊的爬虫软件,这些爬虫软件可以自动抓取58同城网站上的简历数据、本地商户信息、汽车过户信息、保洁公司信息、租房联系人信息等多类信息。

自 2016年初开始,关于 58同城的爬虫软件和相关技术讨论不断涌现,利用这些工具,一天可采集到的数据量可达 10万条。

CNNVD(中国国家信息安全漏洞库)发布的关于 58同城简历泄露事件的通报指出:由于 58同城网站存在弱加密等设计缺欠,导致攻击者可通过访问该网站的某些数据查询接口,经过简单的解密还原,获取并关联用户关键信息,进而获取用户简历的全部信息。

第二个故事是 2017年 4月,黑客“CosmicDark”在网上售卖从优酷窃取约1亿用户账号,售价约2000人民币。CosmicDark称,该数据库于2016年被泄,今年才在互联网上公开暴露。但是目前尚不清楚这些数据库是如何被窃取的。

该数据库包含大量帐号的电子邮箱和解密的 MD5、SHA1哈希密码。CosmicDark提供的一份样本数据(552个账号)显示,大多数电子邮箱来自@163.com、@qq.com和@xiaonei.com。而且,有黑客资讯网站经过研究发现,样本数据中提供的加密密码已被解密,并公开暴露在互联网上。

关于漏洞,下面这些内容可能会让你汗毛立起来。以下内容由360威胁情报中心提供,宅客频道编辑。

一、网站漏洞可泄露信息的形势

网站存在安全漏洞成为个人信息以及政企机构信息泄露的主要原因。2017年 1月至 10月,补天平台共收录可导致信息泄露的网站漏洞 251个,较 2016年的 359个下降了 30.1%,约占补天平台全年漏洞收录总数(16427个)的 1.5%,涉及网站 150个,共可能泄露信息 51.2亿条。

统计显示,251个可导致信息泄露的网站漏洞,总计可能泄露信息为 51.1亿条,比 2016年的 60.5亿条下降了 15.5%;比 2015年的 55.3亿条下降了 7.6%。平均每个漏洞可导致 2035.9万条个人信息泄露,单个漏洞的危害大大增加。

从危险等级看,2017年可能泄露信息的漏洞中,高危漏洞数量占97.6%,中危占比为2.4%。与高危漏洞相比,中危和低危漏洞的利用难度相对较小。

从漏洞的技术类型看,2017年可能泄露信息的漏洞中,命令执行(占比为63.7%)、代码执行(14.7%)和SQL注入(8.8%)占比最高,三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。

从各月泄露信息规模来看,1月份曝出的可能泄露的信息数量达到最高峰,为 8.0亿条信息。

统计显示,在 251个可导致信息泄露的网站漏洞中,共有 24个网站漏洞可能泄露的信息在 5000万条以上,其中还有 11个漏洞可能泄露的信息数量在 1亿条以上。下图给出了 2017年网站漏洞可能泄露信息的规模分析。

二、网站漏洞可泄露信息类型分析

补天平台收录的信息泄露相关漏洞中,有 85.3%的相关漏洞泄露的属于个人信息,14.7%相关漏洞泄露的属于机构机密信息。

按照数据的敏感度,可将泄露的个信息数据划分为四个基本类型:

1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。

2)保单信息:保单号、保险信息、车险信息等。

3)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。

4)行为记录:如聊天记录,购物记录、差旅信息等。

而相关漏洞可能泄露的机构机密信息中,根据潜在风险程度,依次主要包括以下几个大类:

1)财务信息

2)合同信息

3)企业资产

4) 公司注册信息

统计显示,在 251个可能泄露信息的网站漏洞中:约 85.7%的网站漏洞可能泄露用户的实名信息,可能泄露实名信息数量多达 42.9亿条;约 10.8%的网站漏洞可能泄露用户的保单信息,可能泄露保单信息数量多达 4.5亿条;约 14.7%的网站漏洞可能泄露机构机密信息,可能泄露机构机密信息数量多达 5.6亿条,具体如下图所示。

需要特别说明的是,由于网站数据形式的多样性,一个网站漏洞可能泄露的信息的类型未必是单一的,约有 1.6%漏洞会同时泄露上述 3种不同类型的信息,约 10.4%的漏洞会同时泄露上述两种不同类型的信息。

三、可泄露信息网站的行业分析

根据工信部网站查询结果,一般网站备案的类型分为:军队、政府机构、事业单位、社会团体、企业、个人等类型。在 251个补天平台收录的信息泄露漏洞中,其中有备案的网站漏洞有为 236个,占比 94.0%。

在已备案的网站中,被报漏洞的企业网站数量是最多的,占比为 69.7%,其次为政府机构网站,占比为 19.5%,事业单位网站占比为 4.0%。从下图可以看出,企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。

从可泄露的信息数量来看,不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出,企业网站漏洞可能泄露的信息数量最多,约为 43.9亿条,约为全年可能泄露信息总量的 85.8%。另外,未备案,网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。

统计显示,金融网站(金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台,而银行等大型金融机构的安全性相对较高,问题较少)、政府机构及事业单位网站、通信运营商(含虚拟运营商)网站被报告的可泄露信息的漏洞最多,占比分别为 28.3%、26.7%、24.7%,三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。

从可能泄露信息数量来看,金融行业(22.1亿条)、通信运营商(18.9亿条)网站可能泄露的信息数量也是最多的,远高于其他行业。

四、网站信息泄露的原因与趋势

综合过去的监测与分析,可以看到造成重大信息泄露的漏洞数量每年都在大幅下降,但同时,单个漏洞可能造成的信息泄露数量却在大幅增加。

这一方面反应出国内网站在信息保护方面的建设在不断加强,整体形式明显好转;另一方面也反应出,信息泄露的风险正在逐步向少数领域集中,而且大型民用服务系统一旦出现安全问题,往往会给整个社会带来巨大的损失。

实际上,信息泄露问题是政企机构数字化转型过程中普遍存在的安全问题。数字化转型较早,信息系统网络化程度相对较高的行业和领域,被暴露出来的问题也相对较多。如金融、通信、新兴互联网等领域。

但随着数字化转型的逐渐深入以及网络安全建设水平的不断提高,这些行业或领域在度过信息泄露的高峰期后,安全问题会逐渐缓和。

某些数字化转型相对较晚的行业或领域,如某些大型政府机构、制造业,以及某些传统实体经济,现在暴露出来的问题就相对较少,但在未来不可避免的数字化转型过程中,也必然会逐渐暴露出越来越多的安全问题,面临越来越大的信息泄露风险。

从另外一个角度来看,在消费互联网时代,聚集大量个人服务的信息系统,往往容易成为信息泄露的高发点。而在未来,随着智慧城市的建设,产业互联网的出现,传统的实体经济的互联网化,政务云和互联网+的普及,政府机构和实体经济将有可能面临更大的信息泄露风险,成为信息泄露新的高发领域。

本文由360威胁情报中心投稿,宅客频道编辑。

蓝字查看更多精彩内容

探索篇

人物篇

---

“喜欢就赶紧关注我们”

 

Copyright © 2015 Powered by 999idc.net X3.2 技术支持:999IDC.net

中国.西安航天基地航创国际广场      服务热线:153-890-54706

   软件开发 网站建设 电商平台 分销商城 小程序 智慧餐饮 OA协同办公QQ

 
QQ在线咨询
售前咨询热线
153-890-54706
售后服务热线
153-890-54706
返回顶部