网站安全漏洞检测报告年度安全分析

网站安全仍然是目前互联网网络安全的最大安全风险来源第一，包括现有的PC网站，移动端网站，APP，微信API接口小程序的流量越来越多，尤其移动端的访问超过了单独的PC站点，手机移动用户多余PC电脑，人们的生活习惯也在改变，APP的流量占据整个互联网的市场，简单易用的同时，也带来了新的网站安全方面的问题，APP的安全问题，也层出不穷。

据我们SINE安全公司对整个2019年的第一季度，第二季度的网站的安全检测发现，网站漏洞排名第一的还是SQL注入漏洞，以及XSS跨站漏洞，DDOS流量攻击等等的漏洞攻击，CSRF也挤进了漏洞的前五，可看出该漏洞的危害性也日益严重。网站漏洞的发生，分分秒秒的都在考验网站以及APP应用背后的安全应急响应的能力，另外一些方面比如一些区块链，虚拟币，大数据，云计算的技术与产业的成熟，也带动了整个互联网的流量快速增长，搜索引擎的蜘蛛与爬虫攻击也越来越多，许多网站的用户信息泄露，网站被攻击瘫痪打不开，给公司的运营带来了严重的影响，经济损失以及公司名誉损失都是双重的挑战，根据我们SINE安全对2019年一，二，季度的综合安全检测与漏洞攻击分析，来给大家呈现2019年的网站安全检测报告。

大部分的网站被攻击，APP被攻击，数据被篡改，网站被跳转到其他网站，网站快照被劫持等情况，都是使用的网站漏洞扫描器来攻击的，漏洞扫描软件对互联网上的网站，APP进行自动化的扫描，嗅探，试探攻击，目前的漏洞扫描软件很智能化，对网站使用的源码会自动识别，像一些企业网站使用dedecms系统，phpcms,discuz论坛系统，metinfo,thinkphp系统，都会识别到，并区分网站版本，对网站版本目前存在的漏洞，进行自动验证，如果该网站，以及APP存在漏洞，会直接执行下一步的攻击操作。也就是说整个网站的攻击来源是漏洞扫描软件。

在防护漏洞扫描软件上面，大部分的安全厂商会对扫描软件的特征，以及日志分析，定位软件的扫描端口，扫描IP在一分钟超过多少次的扫描次数后，认定为漏洞扫描软件，并更新到安全黑名单中，对漏洞扫描器进行屏蔽，可以有效的防止网站被攻击，大大的缓解了漏洞扫描给网站以及服务器带来的CPU负载，促使网站更快的打开与访问，给用户提供更好的网站访问体验。

随着网站防火墙的升级以及WAF规则不断变化，传统上的sql注入攻击，XSS跨站攻击代码都会被防火墙拦截掉，国内的阿里云CDN，百度云加速，360CDN，腾讯云CDN，都有自己的WAF防护规则，当对网站进行尝试性攻击的时候，就会将这些恶意代码攻击进行自动拦截，很多的攻击者目前采用了编码加密来进行绕过防火墙，让防火墙失效，这种攻击情况越来越严重，像mysql数据库，以及js语言，通过编码以及变形免杀绕过网站防护的攻击手段越来越多了，攻击与防护是对立的，道高一尺魔高一丈，是在不断的较量当中，我们SINE安全公司发现尤其2019年的攻击，大部分采用的都是编码加密与变形来绕过网站防火墙以及WAF，在get,post,cookies数据中，http头，form变淡，hex编码，JAVA编码，UTF7编码，注释加减，unicode编码绕过，都是目前常用的绕过防护手段。

攻击的IP地址也越来越多，代理IP，国外IP，都呈现增长的趋势，IPV6的开放，使得更多的IP可以利用，当网站防火墙对攻击IP进行拦截的时候，攻击者往往会自动切换IP，继续对网站实施攻击，IP地址也不能作为网站防护的一种重要的手段了，我们的网站防火墙应该从多个数据进行分析，比如攻击者使用的电脑硬件设备名，以及cookies,浏览器特征，token动态值，综合大数据进行分析，对信任的IP进行放行，有攻击行为的IP加入待审核，通过多个日志分析来判定是否为攻击。