发布时间:2022-5-17 分类: 行业资讯
2020年临近,2019年网站安全工作接近尾声。我们的SINE网站安全监控平台对数万个客户网站的安全防护进行了全面的安全分析和统计,针对发现的网站漏洞和安全事件,整理了2020年网站安全监控预测报告,以便更好地提升网站安全性,提供安全铠甲级,防止网站被攻击,并在每个客户的网站上切实执行,确保整个网络安全快速稳定发展。
网站安全监控目标为企业网站、事业单位网站、学校教育网站、个人站长网站、医院网站、App网站。目前,企业网站占我们SINE安全客户的60%,机构占10%,个人站长网站占20%,其余学校、医院、教育、App网站占10%。整合这些主要类型的客户网站,进行全球网站安全,主要监控网站漏洞监控、网站安全风险、敏感信息泄露风险、密码风险和搜索引擎记录的劫持风险。
对1万个网站进行了安全监控,发现986个网站存在漏洞。100多个网站暴露于敏感信息,2158个网站暴露于密码风险,1355个网站暴露于搜索引擎记录劫持风险。其中,风险最大的网站漏洞有sql注入漏洞、网站源代码远程执行漏洞和XSS跨站点漏洞。
Sql注入漏洞:就我们SINE的安全术语来说,如果网站有这个漏洞,网站的管理员账号密码就会被攻击者看到,然后登录网站上传webshell并对网站进行篡改和攻击,那么什么是sql注入漏洞,即前端用户向网站后端输入,而不检查输入内容的安全性, 从而导致恶意的SQL注入代码插入到网站中,然后传输到数据库中进行查询、更新、添加等数据库。 然后,如何防止sql注入攻击可以在我们之前写的一篇文章中看到:mysql防止sql注入的三种方法的总结。
网站源代码远程执行漏洞:指在客户网站源代码的设计过程中,对get、post、cookies的传输没有严格的逻辑判断和安全检查,导致调用代码和请求外包溢出,获取数据,然后在网站中执行恶意代码,下载文件,保存在网站的文件目录中,或者上传webshell文件。简而言之,该漏洞是有害的,并可能导致网站劫持。什么是网站劫持?如何处理,大家可以看看我们在SINE Security之前写的文章。
敏感信息泄露和内容检查:监控所有客户网站显示,很多网站之前都被篡改过,很多都属于敏感信息。由于内容问题,我们可以看到下图中的:多条敏感信息是近几年发生的,2020年的安全预测还会继续增加。特别是,一些企业网站更容易受到此类漏洞的攻击,篡改内容、劫持百度快照以及将网站劫持到其他网站等安全事件经常发生。有些网站甚至被放入了一个暗链:也叫黑链。
根据网站安全情况和对我们上面SINE统计的监控,我们可以看到大多数网站还是会时不时的出现漏洞、攻击和篡改。我们的SINE安全不仅维护客户网站的安全,还随时监控网站的一举一动。出现问题就解决,尽力保证网站正常稳定运行。如果你是网站运营商,请在即将到来的2020年做好网站安全工作,防止网站被攻击。
