1.1  概述

为了掌握某市高新区中小企业网站的网络安全整体情况，我们组织人员从某市高新区9700多个中小型企业网站（网站列表由高新区工商部门提供）中随机抽选了466个网站进行安全扫描，并对其中的41个网站进行人工漏洞核查。通过安全扫描和人工核查，尝试分析某市中小型企业网站的整体安全情况。

1.2  网站部署情况

我们对随机抽选的466个站点进行了简单分析，发现大部分站点为自建或租用云服务自建，而部分站点使用了淘宝、1688或京东这一类在线商城作为官方站点，还有的使用了china.cn、biz72.com等商务网站联盟作为官方站点。

我们对该数据进行分析汇总，结果如下。

由于采用在线商城和网站联盟的系统安全性主要由所属平台决定，所以不在我们此次安全评估范围之内。

1.3  漏洞扫描结果

由于采用在线商城和网站联盟的系统安全性主要由所属平台决定（74个站点），所以不在我们此次工具扫描范围之内。本次利用网站安全检测平台共扫描各类中小型企业网站392个,发存在中高危漏洞的网站323个,占比为82.3%。其中存在高危漏洞的网站185个，占扫描网站总数的47.2%。

根据网站风险等级评定标准，我们对网站安全状况进行了分级：高危、中危、低危。

汇总后的网站整体安全分布如下。

而从检测出漏洞的危险等级来看,高危漏洞数量占27%,中危占62%,低危占11%。

其中应用程序错误信息(26.5%)、异常页面导致服务器信息泄露(13.2%)和跨站脚本攻击漏洞(18.2%)这三类是占比最高的网站安全漏洞,三者之和超过漏洞总数的50%。

1.4  人工检测结果

由于工具检测具有一定的误报率，我们从392个网站中随机抽取41个站点进行漏扫结果核查，抽取的样本如下。

抽选的41个网站安全性工具扫描结果如下：

而通过对41个站点的手工检测，对取样后的41个站点手工检测情况，发现其中25个站点存在高危漏洞，10个站点存在中危漏洞，6个站点在安全扫描中未发现漏洞。与工具检测结果相差较大。

手工检测漏洞分布情况如下：

部分检测数据如下：

而手工检测和工具检测的主要区别在于业务逻辑型漏洞，如越权漏洞、文件上传漏洞、账户枚举漏洞等，同时还有部分常规漏洞的绕过WAF后的检测，如XSS漏洞、SQL注入漏洞、命令执行漏洞等。

1.5  漏洞修复情况

在我们发现上述网站漏洞后，及时通报了相关单位。通过后期人工复核，发现其中1天内修复的比例仅为6%,当天未修复但一周以内修复的比例为13%,三周内修复的比例为35%，三周后仍未修复的占45%。

1.6  检测结论

1、很多网站设计中只考虑了正常用户稳定使用，而忽略了漏洞的存在。大部分网站开发者和设计人员对网站攻防技术了解甚少，他们在建站中通常只会考虑如何让用户正常使用该网站。这些设计人员几乎不关注安全代码设计，也很少考虑网站应用开发过程中所存在的漏洞。但是网站自身存在的这些漏洞会被黑客不断地被挖掘出来，黑客们也会直接利用这些漏洞直接或间接地获取利益，致使网站蒙受巨大损失。

2、网站缺乏有效的防御措施。很多网站的防御措施过于落后，一些基于特征识别的入侵防御技术和内容过滤技术，并不能很好地抵御黑客攻击，也就达不到保护网站的目的。很好的一个例子就是SQL注入、跨站脚本这种特征不唯一的网站攻击，如果网站采用的是基于特征匹配技术防御攻击，网站攻击并不能精确地被阻断。

3、发现网站安全问题，却不能彻底解决。通过漏洞的修复情况分析，即便是在能够修复漏洞的网站中,仍有近2/3的网站漏洞修复周期过长,修复较为不及时(大于7天)，而且大部分网站仅修复高危漏洞，对中低危漏洞一般采取相消极的态度。很多网站开发与设计公司对网站安全代码设计方面了解不多，这也就决定了在网站开发与设计过程中，尽管发现了安全问题，还是不能彻底解决这些安全问题。在发现网站存在安全问题和安全漏洞后，几乎不会针对网站具体的漏洞原理对源代码进行改造。

关注我们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，目前聚集了十多位专业的安全攻防技术研究人员，专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队，请关注团队官网: http://www.TideSec.net 或关注公众号：