2020年即将到來,2019年的網站安全工作已經接近尾聲,我們SINE網站安全監測平台對上萬客戶網站的安全防護情況做了全面的安全分析與統計,整理出2020年的網站安全監測預測報告,針對發現的網站漏洞以及安全事件來更好的完善網站安全,提供安全防禦等級,防止網站被攻擊,切實落實到每個客戶的網站上,確定整個網絡安全的高速穩定發展。
網站安全監測的網站對象分别為,企業網站,事業機關網站,學校教育網站,個人站長網站,醫院網站,APP網站,目前企業網站占據我們SINE安全客戶的百分之60,事業機關占比在百分之10,個人站長類網站占比百分之20,其餘的學校,醫院,教育,APP類網站占比百分之10,綜合這幾大類客戶網站來進行全局的網站安全監測。主要監測的是網站漏洞監測,網站安全風險,敏感資訊洩露風險,密碼風險,搜尋引擎收錄劫持風險監測。
安全監測10000個網站,共計監測到986個網站漏洞,以及100多個網站存在敏感資訊洩露風險,以及2158個網站存在密碼風險,1355個網站存在搜尋引擎收錄劫持風險,其中網站漏洞最高危的是:sql注入漏洞,網站源代碼遠端執行漏洞,XSS跨站漏洞。
SQL注入漏洞:利用我們SINE安全的專業術語來講,網站如果存在該漏洞會導緻網站的管理者賬号密碼被攻擊者看到,進而登入網站對網站進行上傳webshell,對網站進行篡改與攻擊操作,那麼什麼是sql注入漏洞,就是前端使用者輸入到網站後端,沒有對其輸入的内容進行安全檢查,導緻可以插入惡意的sql注入代碼到網站當中去,進而傳入到資料庫當中進行了查詢,更新,增加等資料庫的操作。那麼該如何防止SQL注入攻擊,可以看我們之前寫的一篇文章:mysql防止sql注入 3種方法總結。
網站源代碼遠端執行漏洞:是指客戶網站源代碼在設計過程當中,沒有對get,post,cookies的傳輸進行嚴格的邏輯判斷與安全檢查,導緻可以溢出調用代碼向外請求發包,擷取資料進而到網站當中執行了惡意代碼,可以執行下載下傳檔案,并儲存到網站的檔案目錄當中去,也可以上傳webshell檔案,總之該漏洞的危害較大,可導緻網站被劫持,那什麼是網站被劫持?該如何處了解決,可以看下我們SINE安全之前寫的文章。