日前，360互聯(lián)網(wǎng)安全中心發(fā)布《中國網(wǎng)站安全報告（2015）》，報告顯示在2015年國內(nèi)網(wǎng)站漏洞仍然比較嚴(yán)重，北京成為遭受漏洞攻擊最為嚴(yán)重地區(qū)。

三類安全漏洞為主

報告稱，2015年全年（截至11月18日），360互聯(lián)網(wǎng)安全中心網(wǎng)站安全檢測平臺共掃描各類網(wǎng)站231.2萬個，其中，掃出存在漏洞的網(wǎng)站101.5萬個，占比為43.9%，較2014年的61.7萬個增長了64.5%。其中，掃出存在高危漏洞的網(wǎng)站30.8萬個，占掃描網(wǎng)站總數(shù)的13.3%，較2014年的27.9萬個增長了10.4%。

大數(shù)據(jù)顯示，2015年全年（截至11月18日）360網(wǎng)站安全檢測平臺全年共掃描發(fā)現(xiàn)網(wǎng)站高危漏洞265.1萬次，約為2014年462.1萬次的一半，平均每月掃出高危漏洞約24.1萬次；平均每天掃出高危漏洞約0.8萬次。

雖然數(shù)量下降，不過，由于2014年掃描網(wǎng)站164.2萬個，只有2015年的71%，因此，2015年，高中危漏洞的掃出比例大幅下降。

互聯(lián)網(wǎng)安全專家裴智勇博士介紹，從各種漏洞類型來看，跨站腳本攻擊漏洞（21.9%）、異常頁面導(dǎo)致服務(wù)器路徑泄露（11.8%）和SQL注入漏洞（16.0%）這三類安全漏洞是占比最高的網(wǎng)站安全漏洞，三者之和接近網(wǎng)站所有漏洞檢出總次數(shù)的一半。相比2014年，“異常頁面導(dǎo)致服務(wù)器路徑泄露”之漏洞是去年的“黑馬”漏洞，超過SQL注入漏洞而躍居第二。

數(shù)十億個人信息或泄露

2015年關(guān)于網(wǎng)站被拖庫、撞庫的的事件可謂屢見不鮮。在2015年（截至2015年11月18日）中國最大的漏洞播報平臺補天平臺收錄的網(wǎng)站漏洞中，共有1410個漏洞可能造成網(wǎng)站上的個人信息泄露，這些漏洞共涉及網(wǎng)站1282個，可能泄露的個人信息量（下文簡稱泄露信息量）高達(dá)55.3億條。這一數(shù)字較2014年的23.6億條翻了一倍還多。如果按照中國網(wǎng)民總數(shù)為6.5億計算，這一數(shù)字也就意味著，僅僅在2015年這一年，平均每個中國網(wǎng)民就至少可能泄漏了8條以上的個人信息。

360互聯(lián)網(wǎng)安全中心方面表示，在對IT/互聯(lián)網(wǎng)、電信運營商、金融理財、汽車交通、教育培訓(xùn)和醫(yī)療衛(wèi)生等六個重點領(lǐng)域網(wǎng)站存在的漏洞進(jìn)行分析，統(tǒng)計發(fā)現(xiàn)泄露信息漏洞可導(dǎo)致約11.5億條個人信息泄露。其中：IT/互聯(lián)網(wǎng)網(wǎng)站可能泄漏的個人信息最多，為5.23億條、其次是醫(yī)療衛(wèi)生網(wǎng)站2.40億條、電信運營商1.97億條、金融理財網(wǎng)站1.10億條；汽車交通網(wǎng)站5418萬條、教育培訓(xùn)2462萬條。

從可能泄露的個人信息量網(wǎng)站性質(zhì)來看，企業(yè)網(wǎng)站可能泄露的信息量為25.9億條，政府、事業(yè)單位、個人和社會團(tuán)體可能泄露的信息量也分別達(dá)到了9.5億、3.7億、0.4億和0.2億條。

“事實上，只要是人編寫的程序，都有可能出現(xiàn)漏洞，只要及時修復(fù)，就很大程度上避免信息泄露。”補天漏洞響應(yīng)平臺專家鮑宇介紹，雖然漏洞頻繁，但是網(wǎng)站漏洞修復(fù)率過低，是目前網(wǎng)站安全面臨的一個重大問題。補天平臺在收到白帽子報告的網(wǎng)站安全漏洞后，都會在第一時間通過網(wǎng)站官網(wǎng)上提供的聯(lián)系方式向相關(guān)網(wǎng)站報告漏洞及漏洞細(xì)節(jié)。但2015年的統(tǒng)計數(shù)據(jù)顯示，網(wǎng)站在收到相關(guān)漏洞報告后，平均修復(fù)率仍然不超過10%，有的行業(yè)甚至低于5%。政府網(wǎng)站的漏洞修復(fù)率在所有備案類型網(wǎng)站中排名墊底，僅為1.8%，這與普通網(wǎng)民對政府網(wǎng)站的信賴度相對較高的情況非常不相稱。