网站漏洞可泄露信息的分析与趋势.docx

网站漏洞可泄露信息的分析与趋势2017 年 3 月，多家新闻网站曝出“58同城陷数据泄露：700 元可采集网站全部简历信息”的新闻。2017 年 4 月，黑客“CosmicDark”在网上售卖从优酷窃取约1亿用户账号，售价约2000人民币。关于漏洞，下面这些内容可能会让你汗毛立起来。以下内容由360威胁情报中心提供。一、?网站漏洞可泄露信息的形势网站存在安全漏洞成为个人信息以及政企机构信息泄露的主要原因。2017 年 1 月至 10 月，补天平台共收录可导致信息泄露的网站漏洞 251 个，较 2016 年的 359 个下降了 30.1%，约占补天平台全年漏洞收录总数（16427个）的 1.5%，涉及网站 150 个，共可能泄露信息 51.2 亿条。统计显示，251 个可导致信息泄露的网站漏洞，总计可能泄露信息为 51.1 亿条，比 2016 年的 60.5 亿条下降了 15.5%；比 2015 年的 55.3 亿条下降了 7.6%。平均每个漏洞可导致 2035.9 万条个人信息泄露，单个漏洞的危害大大增加。从危险等级看，2017年可能泄露信息的漏洞中，高危漏洞数量占97.6%，中危占比为2.4%。与高危漏洞相比，中危和低危漏洞的利用难度相对较小。从漏洞的技术类型看，2017年可能泄露信息的漏洞中，命令执行（占比为63.7%）、代码执行（14.7%）和SQL注入（8.8%）占比最高，三者之和占全部信息泄露漏洞的八成以上。下图给出了相关漏洞的技术类型详细分布情况。从各月泄露信息规模来看，1月份曝出的可能泄露的信息数量达到最高峰，为 8.0 亿条信息。统计显示，在 251 个可导致信息泄露的网站漏洞中，共有 24 个网站漏洞可能泄露的信息在 5000 万条以上，其中还有 11 个漏洞可能泄露的信息数量在 1 亿条以上。下图给出了 2017 年网站漏洞可能泄露信息的规模分析。二、?网站漏洞可泄露信息类型分析补天平台收录的信息泄露相关漏洞中，有 85.3% 的相关漏洞泄露的属于个人信息，14.7% 相关漏洞泄露的属于机构机密信息。按照数据的敏感度，可将泄露的个信息数据划分为四个基本类型：1）实名信息：如姓名、电话、身份证、银行卡、家庭住址等信息。2）保单信息：保单号、保险信息、车险信息等。3）帐号密码：如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。4）行为记录：如聊天记录，购物记录、差旅信息等。而相关漏洞可能泄露的机构机密信息中，根据潜在风险程度，依次主要包括以下几个大类：1）?财务信息2）?合同信息3）?企业资产4）?公司注册信息统计显示，在 251 个可能泄露信息的网站漏洞中：约 85.7% 的网站漏洞可能泄露用户的实名信息，可能泄露实名信息数量多达 42.9 亿条；约 10.8% 的网站漏洞可能泄露用户的保单信息，可能泄露保单信息数量多达 4.5 亿条；约 14.7% 的网站漏洞可能泄露机构机密信息，可能泄露机构机密信息数量多达 5.6 亿条，具体如下图所示。需要特别说明的是，由于网站数据形式的多样性，一个网站漏洞可能泄露的信息的类型未必是单一的，约有 1.6% 漏洞会同时泄露上述 3 种不同类型的信息，约 10.4% 的漏洞会同时泄露上述两种不同类型的信息。三、?可泄露信息网站的行业分析根据工信部网站查询结果，一般网站备案的类型分为：军队、政府机构、事业单位、社会团体、企业、个人等类型。在 251 个补天平台收录的信息泄露漏洞中，其中有备案的网站漏洞有为 236 个，占比 94.0%。在已备案的网站中，被报漏洞的企业网站数量是最多的，占比为 69.7%，其次为政府机构网站，占比为 19.5%，事业单位网站占比为 4.0%。从下图可以看出，企业和政府机构网站存在的信息泄露漏洞的情况明显多于其他。从可泄露的信息数量来看，不同备案类型网站漏洞可能泄露信息数量的差异较大。从下图可以看出，企业网站漏洞可能泄露的信息数量最多，约为 43.9 亿条，约为全年可能泄露信息总量的 85.8%。另外，未备案，网站的漏洞可能泄露的信息数量也约占全年泄露总量的 6.9%。统计显示，金融网站（金融行业的相关漏洞主要集中在中小保险机构及中小信贷平台，而银行等大型金融机构的安全性相对较高，问题较少）、政府机构及事业单位网站、通信运营商（含虚拟运营商）网站被报告的可泄露信息的漏洞最多，占比分别为 28.3%、26.7%、24.7%，三大行业网站的漏洞报告数量约占所有网站被报告漏洞数量的 79.7%。从可能泄露信息数量来看，金融行业（22.1亿条）、通信运营商（18.9亿条）网站可能泄露的信息数量也是最多的，远高于其他行业。四、?网站信息泄露的原因与趋势综合过去的监测与分析，可以看到造成重大信息泄露的漏洞数量每年都在大幅下降，但同时，单个漏洞可能造成