摘要

网站缝隙：

2014年全年，360网站安全检测渠道共扫描各类网站164.2万个；其间，存在安全缝隙的网站为61.7万个，占扫描网站总数的37.6%；存在高危安全缝隙的网站共有27.9万个，占扫描网站总数的17.0%。

360网站安全检测全年共扫描发现网站高危缝隙462.1万次，均匀每天约13836次。

在一切扫出缝隙中，跨站脚本缝隙（33.7%）和报错型SQL注入缝隙（14.5%）这两类高危安全缝隙占比最高，二者之和挨近网站一切缝隙检出总次数的一半。

网站修正安全缝隙均匀周期为78天，其间，高危缝隙修正均匀周期最长，为118天，中危、低危缝隙的均匀修正周期分别为57天、58天。

OpenSSL心脏出血缝隙、Shellshock破壳缝隙、Struts2-021补丁绕过缝隙是2014年最具影响的三大安全缝隙。

网站篡改与后门：

2014年全年，360网站安全检测渠道共扫描各类网站164.2万个，其间，被篡改的网站17.7万个，约占扫描网站总数的10.8%。

2014年全年，360网站安全检测共对8409台网站服务器进行了网站后门检测，掩盖网站199.6万个，扫描共发现约3465台服务器存在后门，占一切扫描网站服务器的41.2%。 计算显现，服务器删去新发现后门的均匀周期为8.28天。

2014年，歹意SEO后门的盛行和新式网站后门办理工具QuasiBot的呈现特别值得重视。

缝隙进犯：

2014年全年，360网站卫兵共阻拦各类网站缝隙进犯7.0亿次，均匀每天阻拦缝隙进犯209.6万次。

均匀每月有11.0万个网站遭受各类缝隙进犯，其间，11月是网站遭受缝隙进犯最为频频的一个月，均匀每天约有6667个网站遭到缝隙进犯。

从建议缝隙进犯IP的地域散布来看，91.4%进犯者IP来自境内区域，来自境外的进犯仅为8.6%。其间，境内进犯首要来自深圳（32.9%）、江苏（13.9%）、浙江（11.4%）、山东（10.0%）、广东（7.40%）。

从遭到缝隙进犯IP的地域散布来看，96.0%受害者IP为自境内区域，境外的受害者仅为4.0%。其间，境内遭到缝隙进犯最多的区域是深圳（18.1%）、河南（14.0%）、四川（13.8%）、浙江（11.7%）、江苏（7.42%）等。

流量进犯：

2014年全年，360网站卫兵共阻拦各类CC进犯205.0亿次，均匀每天阻拦CC进犯6138万次。计算显现，全年共有15.6万个网站被遭受CC进犯。

94.6%的CC进犯来自境内区域，其间，来自浙江CC进犯数量最多，占境内CC进犯的12.0%，其次是广东（11.8%）和山东（6.17%）。

2014年全年，360网站卫兵均匀每月阻拦各类DDoS进犯744.4Gb/s。5月（1389Gb/s）和7月（1444Gb/s）是全年阻拦DDoS进犯的高峰期。

网站安全性职业剖析：

在各职业网站中，电子商务类网站存在高危缝隙份额最高，为26%；其次为日子信息类（24%）、医疗卫生（22%）和企业公司（21%）。银行类网站相对安全性较高，存在高危缝隙份额最低。

各个职业网站修正缝隙均匀周期也有很大不同：音乐影视类、政务网站缝隙均匀修正周期最长，分别为97天和86天，其网站安全意识有待进步；而游戏网站、医疗卫生类网站修正缝隙均匀周期较短，分别为65天和66天。

医疗卫生、政府网站和社区论坛最简单遭到缝隙进犯。一般来说，一个网站遭受的均匀缝隙进犯量越大，也就意味着这个网站关于进犯者来说，使用的价值越高。

在2014年遭受CC 进犯最多的100个网站中，社区论坛网站数量最多，占比高达27.0%；其次是企业公司（17.0%）、日子信息（16.0%）、医疗卫生（10.0%）。

在遭受CC 进犯的网站中，企业公司网站均匀被进犯次数最多，高达1.63亿次。事实上，向竞赛对手的网站建议流量进犯，已经成为部分企业之间歹意竞赛的常用手法。

网站进犯战术最新趋势：

网站进犯与缝隙使用正在向批量化，规模化方向开展，首要表现在以下五个方面：撞库进犯越演越烈、全网知识库大大丰厚、建站体系缝隙被广泛使用、新缝隙发现与使用的速度越来越快、第三方代码托管渠道被进犯。

从2014年曝出的多起安全事情剖析来看，使用网站服务器与手机APP之间的接口存在的缝隙对网闸服务器建议进犯，已经成为一种盛行趋势。

网页篡改被很多用于垂钓进犯，2104年下半年，特别是7月-9月间，很多政府教育类网站遭篡改并被植入很多垂钓页面。

网站防护技能前沿趋势：

安全检测从自动式扫描向被动式扫描改变。

自动化扫描向自动化扫描与人工缝隙发掘相结合改变。

补天渠道：

2014年，补天渠道共录入2490名“白帽子”提交的有用0day缝隙24724个，均匀每天录入有用0day缝隙70个。其间，共有1229名白帽子提交了通用缝隙5407个，1883名白帽子提交了事情缝隙19317个。

2014全年，补天渠道共向357名白帽子发布奖金167.8万元，其间事情缝隙付款金额为61823元，通用缝隙付款金额：161.6万元。

90后现在已经是白帽子的肯定主力，占比高达63.8%，80后占比34.4% ，00后占比1.8%。此外，在补天渠道2490名白帽子中，仅4名为女人，女人仅占缺乏0.2%。某种程度上说，白帽子的国际便是男人的国际。

企业网站与办理体系的首要安全问题往往并不是那些技能复杂度很高的网站缝隙，而是一些比较初级的技能过错或人为的失误，首要表现在以下三个方面：暗码安全性缺乏、运维装备不妥、SQL注入缝隙。

陈述下载地址：http://yunpan.cn/cy5kJC3GqLbwQ （提取码：5fdb）

本文转载自 360互联网安全中心