网站安全风险评估报告

网站安全仍然是目前互联网网络安全最大的安全风险源。现有PC网站、移动网站、app、微信API小程序的流量都在增加。特别是移动端的访问超过了个人PC站点，手机用户拥有的PC更多。人们的生活习惯也在改变。APP的流量占据了整个互联网市场，简单易用。同时也带来了新的网站安全问题，APP的安全问题层出不穷。

根据我们SINE安全公司2019年第一季度和第二季度的网站安全检查，发现排名第一的网站漏洞有SQL注入漏洞、XSS跨站漏洞、DDOS流量攻击等。CSRF也挤进了前五大漏洞，这说明该漏洞的危害性越来越大。网站漏洞的发生，每一分钟都在考验着网站和APP应用的安全应急能力。其他方面，比如一些区块链，虚拟货币，大数据，云计算技术和产业的成熟，也带动了整个互联网流量的快速增长，搜索引擎的蜘蛛和爬虫攻击也越来越多。很多网站的用户信息被泄露，网站因受到攻击而无法打开，给公司运营带来了严重影响。经济损失和公司声誉损失是双重挑战。根据我们SINE Security对2019年一、二、三季度安全检测和漏洞攻击的综合分析，我们将在2019年呈现网站安全检测报告。

大部分网站被攻击，app被攻击，数据被篡改，网站跳转到其他网站，网站快照被劫持等。，都是被网站漏洞扫描器攻击的。漏洞扫描软件会自动扫描、嗅探并尝试攻击互联网上的网站和应用程序。现在的漏洞扫描软件非常智能，网站使用的源代码会被自动识别。比如有些企业网站用的就是dedecms系统。Phpcms，discuz论坛系统，metinfo，thinkphp系统，会识别和区分网站版本，自动验证当前网站版本的漏洞。如果该网站和APP存在漏洞，将直接执行下一次攻击操作。也就是说，整个网站的攻击源就是漏洞扫描软件。

在漏洞扫描软件上，大部分安全厂商会对扫描软件的特征进行识别，日志分析，定位软件的扫描端口，一分钟扫描几次以上后，更新到安全黑名单屏蔽漏洞扫描器，可以有效防止网站被攻击，大大缓解漏洞扫描给网站和服务器带来的CPU负载，促进网站更快打开和访问，为用户提供更好的网站访问体验。

随着网站防火墙的升级和WAF规则的不断变化，传统的sql注入攻击和XSS跨站攻击代码都会被防火墙拦截。国内阿里云CDN、云加速、360CDN、腾讯云CDN都有自己的WAF保护规则。当试图攻击网站时，这些恶意代码攻击会被自动拦截。目前，许多攻击者使用编码加密来绕过防火墙，使其失效。这种攻击越来越严重。像mysql数据库和js语言，通过编码和变形来绕过网站保护的攻击手段越来越多。攻与护相对，魔高一尺道高一丈。我们SINE安全公司在不断的较量中发现，尤其是2019年的攻击，大部分都是采用编码加密和变形来绕过网站的防火墙和WAF。在GET、POST和cookies的数据中，目前常用http header、form fading、hex编码、JAVA编码、UTF7编码、注释加减和unicode编码来绕过保护措施。

攻击IP地址越来越多。代理IP和国外IP都呈现增长趋势。随着IPV6的开放，可以使用更多的IP。当网站防火墙拦截攻击IP时，攻击者会自动切换IP，继续攻击网站。IP地址不能再作为网站保护的重要手段。我们的网站防火墙应该分析多种数据。比如攻击者使用的计算机硬件设备名称，以及cookies、浏览器特征、token的动态值，综合大数据分析，释放可信IP，加入有攻击行为的IP进行审核，通过多次日志分析确定是否为攻击。