一、网络前沿状况

2019年第三季度，百达智慧内容安全监测平台对某市网站安全防护情况进行抽样调查分析。调查结果为进一步建设网络安全防护工作提供参考依据或建议指导。

本次抽样调查数据经相关监管单位授权。本次抽样调查采用随机抽样，数据源中单位性质占比情况如下图，最终抽样有效样本共1000个网站。

图1

抽样工具为百达智慧自主研发的内容安全监测平台，它以开放式架构融合多厂商设备，平衡单一厂商单一设备风险发现能力不足，为网络安全监管部门、主管部门与被监管企业提供一个能够有效评估网络安全平台、威胁情报信息共享、闭环管理打造区域共同防御的网络安全平台，资产主动发现并且精准覆盖，避免资产监管盲区。

本次调查主要针对安全风险、安全漏洞、敏感词检测、资产指纹抽样数据、资产备案情况等方面，从而了解某市企业网站的防护现状。

二、网站运行安全状况

2.1风险等级分布

整体来看，本季度平台未监测到大规模或高危害的网络与信息安全事件，然而网络安全风险依然严峻。经百达智慧收集1000个样本数据分析，按照风险的强弱等级进行统计，其中非常危险评级网站78个，比较危险评级网站165个，比较安全评级网站309个，相对安全评级网站448个，具体占比如下图。

2.1-图2

2.2漏洞检测结果

从1000个网站样本中，平台共检测到1703条漏洞，其中受影响网站数量为774个，占总体的77.4%，根据漏洞的影响范围、利用方式、攻击后果等情况，从高到低可将其分为四个危害等级，即超危、高危、中危、低危级别， 其中超危漏洞38个，占漏洞总数的2.2%，高危漏洞53个，中危漏洞174个，低危漏洞1438个，具体漏洞危害等级分布如下图。

2.1-图3

（1） 存在漏洞的网站行业分布

存在漏洞的网站行业分布情况如2.1-图4所示，其中企业性质的网站达到427个，其次分别为教育、政府、医疗等。安全设施薄弱的教育和企业持续成为安全漏洞高发地。

2.1-图4

（2）重要漏洞实例

常见超危漏洞实例

本次网站数据抽样总量共1000个，检测出超危漏洞共145个，其中漏洞类别占比前三如下。

表1 

2.1-图5  

1、HTTP.sys远程代码执行漏洞

HTTP协议堆栈（HTTP.sys）中存在一个远程执行代码漏洞，该漏洞是在HTTP.sys不正确地分析特制HTTP请求时引起的。

攻击者只需要发送恶意的http请求数据包，就可能远程读取IIS服务器的内存数据，或使服务器系统蓝屏崩溃。

微软官方已经给出修复补丁（KB3042553），用户安装修复补丁即可。

2、检测到目标URL存在跨站漏洞

跨网站脚本（Cross-site scripting，通常简称为XSS或跨站脚本或跨站脚本攻击）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。

3、SQL盲注

在使用sql语句作为数据库操作方式的系统中，因为程序员处理传入参数不善而导致sql语句功能改变，从而利用这些改变对数据库甚至系统造成信息泄漏、系统破坏的问题成为sql注入。

sql盲注是sql注入的一种，它通过传入特殊参数，配合系统接口的正常、异常状态返回，达到对系统以及数据库信息进行猜测的目的。

常见高危漏洞实例

本次网站数据抽样总量共xxx个，平台检测出超危漏洞共209个，其中漏洞类别占比前二如下。

2.1-图6

1、IIS短文件名泄露漏洞

Microsoft IIS 短文件/文件夹名称信息泄漏最开始由VulnerabilityResearch Team（漏洞研究团队）的Soroush Dalili在2010年8月1日发现，并于2010年8月3日通知供应商（微软公司）。微软公司分别于2010年12月1日和2011年1月4日给予答复下个版本修复。2012年6月29日，此漏洞公开披露（中危）。

此漏洞实际是由HTTP请求中旧DOS 8.3名称约定（SFN）的代字符（〜）波浪号引起的。它允许远程攻击者在Web根目录下公开文件和文件夹名称（不应该可被访问）。攻击者可以找到通常无法从外部直接访问的重要文件，并获取有关应用程序基础结构的信息。

2、检测到目标URL存在链接注入漏洞

从数据来看，超危、高危、中危占比超过25%，高危级别的安全漏洞危害程度高，反映了迫切需要解决的安全问题。通常来说，与高危漏洞相比，中低危漏洞在实际运行环境中的危害相对较小，但仍能在一定程度上反映出系统质量、开发人员对安全问题的重视程度等。

2.3敏感词检测结果

对平台所监管的站点进行扫描，并对其中的敏感字和暗链进行检测，共检测出537个包含敏感词的站点，其中**490个，占比91.25%，色情47个，占比8.75%。

2.2-图7

检测出的敏感词前十排名如下，其中“**”排名第一位，为609571个。

2.2-图8

存在敏感词的网站行业分布情况如图2.2-图9所示，其中非法网站占比达到95.3%，其次分别为企业、教育等。

2.2-图9

有的网站被篡改成非法网站。

2.2-图10

有的网站被植入暗链。

2.2-图11 

网站页面被篡改，可能存在以下问题：

1、资产已注销，备案已过期，而管理人员不知情，管理滞后，被不法抢注成为黄赌毒网站以牟利。

2、网站存在漏洞，例如SQL注入、XSS跨站脚本、信息泄露等安全风险，攻击者利用这些漏洞导致网站被攻击，篡改网站页面。

三、网站防护状况扫描

具体来看，第三季度，网站自身防护状况形势依然严峻，从WAF部署、网站备案、开放端口、外链发现等情况来看，大部分网络管理者对于网络安全缺乏重视。

3.1资产指纹抽样数据

通过平台实时、动态识别操作系统，从1000个站点资产操作系统中进行调查，其中Linux占比49.1%，Windows占比28.9%，其他占比22%。

3.1-图11

资产指纹管理-操作系统识别的意义在于，提供隐患自动识别与风险管理的能力。例如，平台可以针对资产-Windows操作系统进行筛选，并精准定位隐患资产，实现精准预警。为保障业务的安全，及时消除安全隐患，针对Linux操作系统或Windows操作系统等所存在的已有补丁的漏洞，平台会及时告警，提醒尽快下载并更新系统补丁。

2019年6月，国家信息安全漏洞库（CNNVD）收到关于Linux和FreeBSD内核多个安全漏洞（CNNVD-201906-681、CVE-2019-11477）（CNNVD-201906-682、CVE-2019-11478）（CNNVD-201906-683、CVE-2019-11479）（CNNVD-201906-703、CVE-2019-5599）情况的报送。攻击者可以远程利用这些漏洞，造成Linux和FreeBSD内核崩溃，从而导致拒绝服务。Linux多个版本受漏洞影响。目前，Ubuntu和 RedHat已发布漏洞修复补丁，暂未发布补丁的版本可通过临时修补措施缓解漏洞带来的危害，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

2019年10月，微软官方发布了多个安全漏洞的公告，包括Windows远程桌面客户端远程代码执行漏洞（CNNVD-201910-454、CVE-2019-1333）、Microsoft XML 远程代码执行漏洞（CNNVD-201910-483、CVE-2019-1060）、Microsoft Excel 远程代码执行漏洞（CNNVD-201910-453、CVE-2019-1331）、Jet 数据库引擎远程代码执行漏洞（CNNVD-201910-491、CVE-2019-1359）（CNNVD-201910-435、CVE-2019-1358）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

3.2资产备案情况

域名备案的目的就是为了防止在网上从事非法的网站经营活动，打击不良互联网信息的传播，如果网站不备案的话，很有可能被查处以后关停。经平台扫描，对1000个站点进行筛选，其中已备案：866个，未备案：134个。

3.2-图12

从数据上来看，仍有较多网站未备案，主要原因有以下三点：

（1）网站被篡改，例如某学校备案显示企业被篡改。

该网站在工信部登记的备案信息是幼儿园，但访问时，网站的内容是喷漆厂企业。

3.2-图13为备案信息查询图片。

3.2-图13 

3.2-图14为网站访问图片。

3.2-图14

（2）企业在境外，备案没注销。

（3）网站从事非法活动，逃避监管，例如该网站为赌博网站，网站挂在境外---南非。

3.2-图15为网站访问截图。

3.2-图15

3.2-图16为IP所在地理位置截图。

3.2-图16

3.3 WAF部署情况

WAF是针对目前网络的主要攻击方式和攻击手段发展起来的一种全新防护技术，能够有效阻止来自互联网的各种网络和应用攻击，如SQL注入和跨站脚本攻击漏洞等。WAF类型有云WAF、硬WAF、软WAF。经过平台检测，1000个站点WAF部署情况如下表。

3.3-图17

从数据来看，未部署WAF的网站达到72.6%，远高于部署WAF的网站，大部分企业网站防护措施比较薄弱，只有极少企业对投资硬件设备，用硬WAF进行安全防护，在部署WAF的企业中，软WAF和云WAF的使用率很高，说明大部分企业对自身的安全建设还不够重视。

软WAF需要单台服务器部署，并且可能存在影响正常业务的风险和被绕过的风险，不适合大型的网络的安全防护使用；而云Waf目前只适用于安全需求较低的中小型企业或者个人网站，对于安全需求较高的网站，如政府、金融、运营商等，云Waf无法满足相关要求。

在安全防护体系中，Waf是安全前线的第一道防护，但是单一的安全产品并不能从实质上解决安全问题，Waf只是起到了缓解的作用，在实际场景中，应该在体系中每一个流程都应该做相应的工作。

四、结论

从平台监测的数据来看，三季度某市网站态势依然严峻，中小型企业的网站漏洞发现最多。

安全风险方面，非常危险和比较危险的网站在总样本中占比为24.3%，反应出管理人员安全意识不足，安全监管缺乏智能化、联动管理的工具，风险日常监管不到位，未能做到日常监测，存在漏洞而不知。

漏洞态势方面，存在漏洞的网站在总样本网站中占比高达77.4%，其中，超危、高危、中危漏洞占比超过25%，高危级别的安全漏洞危害程度高，反映了迫切需要解决的安全问题。通常来说，与高危漏洞相比，中低危漏洞在实际运行环境中的危害相对较小，但仍能在一定程度上反映出系统质量、开发人员对安全问题的重视程度等。

内容安全方面，存在敏感词的网站94.5%都是非法网站，其次是企业，建议对网站进行全盘检查，加强对暗链的检测与监管，管理人员需建立敏感词过滤机制，日常检查网站是否存在暗链，对网站存在的漏洞及时进行整改修复。

WAF设置方面，未部署WAF的网站达到82.5%，管理人员在安全防护方面往往没有太多的投入，在部署WAF的网站中极少网站使用硬WAF进行安全防护，大部分使用了软WAF和云WAF，这就给病毒、黑客提供了充分施展身手的空间。

网站备案方面，未备案的网站占比为13.4%，反应出管理人员对资产摸底不清，对已注销的资产、已过期的备案一无所知，管理滞后，易被不法抢注成为黄赌毒网站以牟利。

目前部分企业和教育行业的安全防护意识不甚乐观，存在的风险较高，部分企业的安全防护意识和投入不足，对安全漏洞可能带来的风险认识不到位。

建议各企业切实加强安全防护意识和防护水平，建立健全信息安全管理体系，完善安全保障措施，定期开展网络信息安全风险评估，预警和防范内外部风险。

*本文作者：百达智慧Patec，转载请注明来自FreeBuf.COM