专家建议网站漏洞要及时修复

简介:

360互联网安全中心日前发布的《中国网站安全报告(2015)》显示,网站漏洞仍然比较严重,并且修复率不到一成。对此,专家建议应及时修复漏洞,避免不必要的损失。

据悉,数十亿条个人信息面临泄露危险。按照被攻击次数,2015年北京、苏州等十城市遭受漏洞攻击超过12亿次,其中,北京遭到攻击的IP最多,高达2.9亿个。

黑客对网站发动攻击包括用漏洞入侵网站,对网站发动流量攻击,或在网站内植入木马,引导网民转向恶意网址。

据360互联网安全中心专家裴智勇博士介绍,从各种漏洞类型来看,跨站脚本攻击漏洞(21.9%)、异常页面导致服务器路径泄露(11.8%)和SQL注入漏洞(16.0%)这三类安全漏洞是占比最高的网站安全漏洞,三者之和接近网站所有漏洞检出总次数的一半。相比2014年,“异常页面导致服务器路径泄露”之漏洞是2015年的“黑马”漏洞,超过SQL注入漏洞而跃居第二。

在万物互联时代,物联网、车联网、互联网+金融、O2O创业等领域方兴未艾,厂商重视客户端应用界面的快速上线,而忽略了应用背后常规、基础的安全保障功能,以致对安全投入成本跟不上,导致大量应用及网站服务器端漏洞曝出。360互联网安全中心专家对IT/互联网、电信运营商六个重点领域网站存在的漏洞进行分析,发现泄露信息漏洞共可导致约11.5亿条个人信息泄露。其中:IT/互联网网站可能泄漏的个人信息最多,其次是医疗卫生网站,电信运营商"金融理财网站,汽车交通网站,教育培训。

“事实上,只要是人编写的程序,都有可能出现漏洞,只要及时修复,就很大程度上避免信息泄露。”补天漏洞响应平台专家鲍宇介绍,虽然漏洞频繁,但网站漏洞修复率过低,是目前网站安全面临的重大问题。2015年的统计数据显示,网站在收到相关漏洞报告后,平均修复率仍然不超过10%,有的行业甚至低于5%。

裴智勇博士建议,鉴于多数通用型漏洞属于可以检测的已知漏洞,事件型漏洞则存在一定的偶发性和不可预测性。如果网站加入补天平台,就会安排专人对补天平台报告的漏洞进行响应和处理。统计显示,在2015年被报告漏洞的备案网站中,有22.0%的网站已加入补天平台。

裴智勇博士表示,2015年,“数据驱动安全”的全新技术理念正在逐步取代传统的被动防御、静态防御、孤立防御的技术理念,成为广泛认可的重要的网络安全发展趋势,并且已经取得了一系列的重要成果。威胁情报将是未来一两年内,最具发展潜力的新兴安全服务技术。人工智能、机器学习以及大数据可视化等一系列新兴的网络安全技术,将成为网络安全企业竞争力的核心体现。

本文转自d1net(转载)

相关文章
|
安全 前端开发 网络安全
公司网站有高危逻辑漏洞要修复怎么办
在我SINE安全对客户网站进行逻辑漏洞检测的时候,逻辑漏洞就是指由于程序结构输入管理不紧,造成程序代码不能够 正常解决或错误处理,一般发生在新用户注册、找回密码、信息内容查询、网上交易结算额度等。我将全部逻辑漏洞的现象分成前端开发和后端开发2个组成部分,整体构思全部都是先检测前端开发再检测后端开发。在我解读中实际上便是能提升标准限定的便是漏洞【像无法更改的,利用抓包就能够更改了】。
134 0
公司网站有高危逻辑漏洞要修复怎么办
|
安全 测试技术 网络安全
网站渗透测试服务之短信轰炸漏洞挖掘与修复
很多公司网站的被攻击,被篡改,都是存在着网站漏洞隐患的,也有很多客户找到我们SINE安全公司,对自己公司网站进行渗透测试服务,以及网站的安全检测,漏洞检测整体的安全服务,我们SINE安全在日常对客户网站进行安全渗透的同时,发现都存在着手机号任意发短信的漏洞,简单来讲就是短信轰炸漏洞。尤其一些商城网站,平台网站,会员注册类型的网站都会使用手机号注册,以及微信注册,邮箱地址注册,这样做,方便大部分的用户可以快速的注册账号,登录网站使用。
1024 1
网站渗透测试服务之短信轰炸漏洞挖掘与修复
|
安全 网络安全
企业需要优先修补与勒索软件相关的漏洞
企业需要优先修补与勒索软件相关的漏洞
140 0
|
SQL 安全 前端开发
PHP网站漏洞修复公司对于业务漏洞的修复
最近,我们公司的在线业务系统遇到了一个更为棘手的问题。该公司的网站在线商城系统遭到黑客的入侵,数据库中的用户数据被黑客盗取。由于大部分的客户信息的泄露,公司接到了客户投诉说是电话经常被骚扰,以及受到广告短信。由于缺乏专业的安全技术没有安全方面的经验,PHP系统仅限于功能的实现。看来我需要学习安全方面的一些防止SQL注入攻击的,所以我必须下定决心,努力学习网站的安全。通过不断的探索,我找到了一个比较好的PHP安全方面的书籍“PHP安全之路”。在阅读的过程中,我会把学到的东西记下来,以便将来可以进行学习回忆。
238 0
|
监控 安全 数据安全/隐私保护
网站漏洞整改修复公司如何部署安全方案
目前网站存在漏洞导致被网警下发整改通知以及限期处理并回执的问题越来越多,云计算等技术极大地促进了服务器资源的分配和系统的部署,但随之而来的是资产管理中的安全风险。有些人没有及时回收资源和更新资产,在网上形成了僵尸主机,很容易成为攻击者的肉机。为有效保障企业工作的发展,相关法律法规明确要求网络管理人员及时处理系统漏洞、病毒、攻击等安全风险。但实际上,部分人员缺乏安全意识,对安全漏洞重视不够,部分企业缺乏足够的技术能力进行修复,导致上述安全风险未及时修复。
245 0
网站漏洞整改修复公司如何部署安全方案
|
SQL 安全 数据可视化
MetInfo最新网站漏洞如何修复以及网站安全防护
齐博cms整站系统,是目前建站系统用的较多的一款CMS系统,开源,免费,第三方扩展化,界面可视化的操作,使用简单,便于新手使用和第二次开发,受到许多站长们的喜欢。开发架构使用的是php语言以及mysql数据库,强大的网站并发能力。于近日,我们SINE安全公司发现齐博cms又爆出高危的sql注入漏洞,关于该网站漏洞的详情,我们来详细的分析漏洞的产生以及如何利用。
205 0
MetInfo最新网站漏洞如何修复以及网站安全防护
|
存储 SQL 安全
网站安全渗透测试服务 OA办公系统越权漏洞检测与修复
渗透测试服务,是甲方授权乙方安全公司对自身的网站,以及APP,办公系统进行的全面人工安全渗透,对漏洞的检测与测试,包括SQL注入漏洞,XSS存储漏洞,反射漏洞,逻辑漏洞,越权漏洞,我们SINE安全公司在进行渗透测试前,是需要甲方公司的授权才能进行,没有授权的渗透以及网站漏洞测试在法律上来讲是违法的,非法渗透带来的一切责任与后果,要自行承担,需要渗透测试服务的一定要找正规的安全公司来做,以防上当。前段时间我们SINE安全公司,收到甲方公司的渗透测试ORDER,对公司使用的OA办公系统进行全面的安全检测,与漏洞测试,针对前期我们做的一些准备,与测试内容,我们来详细跟大家分享一下渗透测试的过程。
494 0
网站安全渗透测试服务 OA办公系统越权漏洞检测与修复
|
弹性计算 安全 前端开发
虚拟币安全防护 渗透测试中发现的越权漏洞分析与修复
在对客户网站以及APP进行渗透测试服务时候,越权漏洞对业务系统的正常运转影响很大,很多客户网站信息被泄露,数据库被篡改一大部分原因跟越权漏洞有关,前端时候某金融客户因为数据被泄露,通过老客户介绍,找到我们SINE安全做渗透测试服务,找出数据被泄露的原因以及目前网站APP存在的未知漏洞,根据我们十多年的渗透经验来分享这次网站安全测试的整个过程。
268 0
虚拟币安全防护 渗透测试中发现的越权漏洞分析与修复
|
安全 JavaScript PHP
如何对ecshop网站漏洞进行修复防止被入侵
ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击。
399 0
如何对ecshop网站漏洞进行修复防止被入侵
|
SQL 安全 Oracle
网站漏洞如何修复jeecms网站程序
jeecms 最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以及linux centos系统。
404 0
网站漏洞如何修复jeecms网站程序