Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31352

資安周報第55期:中國網站比你想的更危險,平均有773個漏洞沒修

$
0
0

日前,中國電信、安全幫、綠盟科技和安恒信息聯手發表一份「2016年上半年中國網站安全報告」,掃描38.2萬個網站後發現,共有網站安全漏洞1,480.5萬個漏洞,平均每個網站有773個漏洞,高危險漏洞數量為22個,比去年同期增加17.5%;其中,有37.3%的中國網站有XSS漏洞;若從產業來看,則有75%的地方政府和地方企業網站有高風險漏洞,其中XSS漏洞占所有高風險漏洞38.3%,表示中國有51.1%的地方政府和地方企業網站有XSS漏洞,比臺灣31.5%重要政府官網有XSS漏洞還高。

從這份中國民間釋出的網站安全報告可以發現,這些重點漏洞多年來的修復速度緩害,導致許多網站受害嚴重,包括民間地方企業和地方政府的多數網站,都處於不安全的狀態,因此在瀏覽中國網站時,仍必須留意不要點擊不明的網址連結以確保使用者安全。

中國網站最嚴重的漏洞就是XSS,平均每個網站有773個漏洞

這份報告分成3個數據,包括掃描出來的漏洞、網路監測到的疑似攻擊以及網站安全事件。首先,該份報告指出,資安業者監控382,947個網站,掃描出來的漏洞高達14,80.5萬個,經過驗證的高危險漏洞站漏洞掃描總數的2.8%,平均每個網站有773個漏洞,高危險漏洞數量為22個,比去年同期增加17.5%。駭客往往可以利用這些高危險漏洞完全掌控該受駭網站,也可以繞過系統防火牆控制整個網站伺服器,進而危害到整個網站的正常運作。

從揭露的漏洞中可以發現,高危險性的跨站腳本攻擊(XSS)漏洞是所有漏洞中數量最多的,將近14.3萬個漏洞,占所有高風險漏洞近4成(38.3%);以行業別來看,75%的地風政府和地方企業都有這些高風險的漏洞,而XSS漏洞占所有高風險漏洞的38.3,意味著,中國有51.1的地方政府和地方企業網站都有XSS漏洞。

駭客可以利用這樣的漏洞在網站中植入任意的代碼,插入各種iframe,不論是竊取網站管理員或使用者的Cookie,隱藏網頁掛碼的存在,甚至是格式化使用者的電腦硬點等,只要是這些腳本程式可以做到的功能,都是有XSS漏洞網站必須要面對的潛在威脅。

該份報告中排名第二名~第五名的漏洞依序就是:鏈結注入漏洞、SQL注入漏洞(SQL Injection)、框架注入漏洞和Cookie注入漏洞,和威脅最高的XSS相比,後續漏洞的數量大約站整體高風險漏洞的10%左右,比例雖然較少,但是危害仍大。

鏈結注入(Injection with url as payload)和框架注入都算是跨站腳本攻擊的一種變種攻擊,可以直接在使用者瀏覽的網頁中植入各種惡意連結或各種輸入框,如果上述植入的惡意連結或是輸入框涉及使用者帳號密碼,也意味著駭客可以利用這個漏洞竊取使用者的機敏資料。

另外,駭客也可以利用常見的SQL Injection漏洞,除了竊取並外洩網站資料庫的資訊,也可以竄改資料庫資料或把整個資料庫刪除;Cookie注入漏洞手法較為複雜,但危險性和SQL Injection類似,也可以竊取網站管理員和使用者的帳號、密碼。

從該份報告中也可以發現,有56.15%的地方政府網站和19.27%地方企業網站都具有上述高風險漏洞,合計占高風險漏洞的75%;若進一步分析,地方企業網站平均有58個高風險漏洞,政府網站平均有17個高風險漏洞。

網站攻擊手法以伺服器資料外洩比例最高,其次為SQL注入和XSS

從該份資安報告來看,可以發現駭客也經常利用自動化掃描工具針對網站進行掃描,目前可以得知,駭客最常針對網站的目錄和網頁寫爬蟲程式。以了解整個網站內容架構。例如,駭客若要嘗試入侵使用者網站時,會利用暴力破解方式取得後臺管理指令,也同時利用目錄越權訪問和SQL注入攻擊等手法;最常拜訪的網頁頁面式網站管理登入頁面、搜索頁面、資料庫文件保存頁面和網頁後門頁面等等。

該份報告也揭露中國網站受到攻擊的來源位址或國家,駭客最主要發動攻擊的來源是超過一半來自湖北(54.5%),其次為浙江(14%)、廣東(10.8%)、北京(7.5%)和山東(5.3%),另外有2.2%的攻擊來自美國,排名第七名。以湖北為例,甚至有一臺來自湖北武漢的受駭主機,已經對外發動960萬次的攻擊且會自動離線消除攻擊的蹤跡。

這些中國網站受到的Web攻擊事件次數高達2億8361.5萬次,,超過3成(35.4%)是伺服器的資料外洩,27.8%是SQL注入攻擊(SQL Injection),跨站腳本攻擊(XSS)比例也有18%。

但最有趣的是,從該份報告中看出資安業者對於Web攻擊區分成4類攻擊行為模式,分別是中國白帽駭客對政府、金融和重點企業的全面掃描和定點滲透;中國黑產對政府、金融及重點企業的定點、持續性滲透;國外駭客、敵對組織對中國網站長期、無差別的掃描與隨機滲透;以及最後一種事中國黑產組織對攻擊目標網站的定點DDoS攻擊。

上述提到的白帽駭客的掃描和滲透,報告中澤指出,這些揭露網站漏洞的白帽駭客已經轉成灰帽駭客,加上漏洞提報平臺良莠不齊,白帽駭客的增加及大量使用自動化掃描工具,也對中國網站的防禦能力和系統資源的使用帶來壓力,甚至於,報告中也認為,白帽駭客揭露的漏洞,也會帶來機敏資料二次外洩或公眾恐慌。

從這樣的報告說明中,也可以看出,中國最大最早的漏洞揭露平臺烏雲自從今年7月20日「無限期升級」的公告以來,迄今遲遲沒有復站的消息,也可以大致看出,當中國官方反對漏洞揭露的行為時,中國資安產業對於這類漏洞揭露的態度更是漸趨保守。

中國也同樣遭到外部的組織型駭客攻擊,主要攻擊中國政府和教育單位的網站,發現最多的攻擊駭客組織則是與伊斯蘭駭客往來密切、針對.cn網站長期持續攻擊的「chinafans」,以及來自土耳其的網軍「Akincilar」,主要是以攻擊中國、美國和以色列為主,中國教育類網站是最嚴重的受駭類型。

6類網路安全事件層出不窮

該份報告指出,中國最常見的網路攻擊事件大致可分成6種,包括網頁竄改、惡意連結和掛馬、機敏資訊外洩、網站可用性不良、DNS解析異常以及假冒網站等。

以網頁竄改為例,該份報告指出,受駭最嚴重的產業其實是地方企業(37.4%)、電信業者(23%)和政府(13.5%)最高。惡意連結和掛馬可以分成6類,超過7成(75.2%)和博彩有關,其次為遊戲類(11.9%)、廣告推銷(8.1%)、醫療(3.1%)、色情(1.3%)和影視(0.4%)。在機敏資訊外洩的行業別中,多數是三大產業地方企業(59.2%)、能源業(16.6%)和政府(16.1%)。假冒網站的部分,超過7成(70.2%)以假冒政府網站為主,將近3成(28.6%)假冒網站是以金融業為主。

中國網站面臨各種資安風險,針對政府和企業所做的調查中發現,95%的單位都有專門的人負責安全維運,但是安全團隊超過5人的單位則不到20%,也有超過一半的單位沒有資安制度和資安事件的緊急應變SOP流程。從這份調查中也可以看出來,中國網站有超過70%都是委外建置,超過40%是委外代管,當多數單位對於委外過程了解不足時,也很容易帶來許多的資安隱憂。

但整體而言,多數的中國網站維運的單位沒有定期做安全掃描的習慣,也難以掌握網站安全現況;因為不了解網站的資安風險所在,也就難以進一步修復網站,當然,也會面臨缺乏資源(人和錢)修復漏洞的情況,但是,資安人員最害怕的事情則是,因為漏洞太多,許多網站維運單位根本沒有時間修復相關漏洞,日復一日,網站只有更越來越危險,對於所有網站瀏覽者而言,因為不清楚網站的安全與否,可能在無形之中就成為受駭者,可能被網頁掛馬或有個人資料外洩等。

@資料來源:2016年上半年中國網站安全報告,2016年12月

中國網站受到的Web攻擊事件次數高達2億8361.5萬次,,超過3成(35.4%)是伺服器的資料外洩,27.8%是SQL注入攻擊(SQL Injection),跨站腳本攻擊(XSS)比例也有18%。

 

 


Viewing all articles
Browse latest Browse all 31352

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>