新华社北京2月7日专电(记者华晔迪)超过四成的网站存在漏洞,超过13%的网站存在高危漏洞。这是2015中国网站安全报告展现的互联网网站安全现状。
这份由360互联网安全中心发布的报告显示,该机构2015年全年共扫描各类网站231.2万个,其中扫出存在漏洞的网站101.5万个,占比为43.9%,扫出存在高危漏洞的网站30.8万个,占扫描网站总数的13.3%。
从网站漏洞类型看,跨站脚本供给漏洞、异常页面导致服务器路径泄漏、SQL注入漏洞是最为频繁出现的漏洞类型,其中跨站脚本供给漏洞占到漏洞总数的21.9%,异常页面导致服务器路径泄漏占11.8%,SQL注入漏洞占16%。
漏洞修复率过低,是目前网站安全面临的重大问题。报告引述统计数据说,网站在受到相关漏洞报告后,平均修复率仅为4.7%,超过95%的网站漏洞长期得不到修复。报告认为,中国网站管理者普遍存在“重上线、轻管理;重功能,轻安全;重收益,轻保护”的发展思维,部分企业网站管理者甚至完全不知道安全漏洞会带来什么风险。
此外,报告还点出,目前国内很多网站大量采用外包开发模式,在网站验收审核时,一般只验收网站功能,而不会审计网站的安全性,网站一旦完成开发并交付使用,开发者通常也就不再对网站承担任何责任,而网站实际使用者或运维者,又往往不具备足够的专业技能来维护网站安全。
