WhiteHat报告：六成网站含重大漏洞 多因疏于管理

最近WhiteHat Security发布了一份分析真实网站安全数据得到的报告，这份报告从一个较高的角度对继续破坏各行各业企业数据的主要网站安全问题进行了分析。

　　该报告收集了从2006年1月1日到2009年10月1日的所有网站安全数据，报告发现高、重大或者紧急安全问题这些年来一直在缓慢增长。83%的网站曾发生过高、重大或者紧急安全问题，64%的网站目前正在经历这些重大或者紧急安全问题。在发现的22000个安全漏洞中，几乎有9000个仍然处于被攻击者利用的状态，这意味着大约有13000已经修复完成了。

　　在WhiteHat Security网站安全统计报告中只有36%的网站目前没有任何严重的漏洞，但这并不奇怪。从历史的角度来看，这个比例下降了17%。通过这次研究发现，这些目前没有任何严重问题的网站的特征基本上与那些有严重问题的特征是一样的，唯一不同之处在于，他们开始所发现的问题仅为其他网站的一半。这也证明了没有哪个网站是有免疫功能的，所有网站都可能受到攻击。当企业决定主动发现和修复他们的漏洞时，这种被攻击的几率才会减少。

　　“这是非常有趣的现象，那些没有漏洞问题的网站与那些有严重漏洞的网站在技术和网站格式方面竟然是惊人的相似，”WhiteHat Security的创始人兼首席技术官Jeremiah Grossman表示，“现在看来，他们之间最大的不同在于，这些企业设置了内部监管来主动修复漏洞和减少对网站、企业声誉和客户可能带来的潜在威胁。”

　　最近发生的对上千个网站(包括Twitter、Facebook和MySpace等)的攻击验证了该报告的研究结果，即这些平台有攻击者最想要窃取的东西—用户数据。在86%存在重大或者紧急安全漏洞的网站中，社交网站独占鳌头，紧随其后的是教育网站，其中83%存在至少一个重大安全漏洞。这并不奇怪，因为教育机构有很多为公众提供的应用服务，而且经常没有为网站安全部署重要的安全措施。

　　正如报告的结果一样，跨站脚本攻击和SQL注入攻击与许多常见的其他攻击类型一起继续名列十大漏洞名单中。该报告还显示这些攻击类型所占的几率有些增加了，而有些降低了。另外，越来越多的企业开始大规模修复跨站脚本攻击漏洞和SQL注入漏洞，这也表明大家已经建立起了这些漏洞容易受到攻击的危机意识。