【51CTO.com綜合報道】

從異軍突起到千團(tuán)大戰(zhàn)，團(tuán)購行業(yè)在國內(nèi)僅僅用了一年多時間。作為如今最火熱的互聯(lián)網(wǎng)應(yīng)用之一，團(tuán)購網(wǎng)站在高速發(fā)展的同時，也暴露出許多網(wǎng)站安全問題：

第一、團(tuán)購網(wǎng)站技術(shù)門檻低、商業(yè)模式清晰，大量中小規(guī)模企業(yè)和個人進(jìn)入團(tuán)購市場，網(wǎng)站安全維護(hù)能力參差不齊，大批團(tuán)購網(wǎng)站存在高危漏洞；

第二、團(tuán)購業(yè)務(wù)與用戶消費(fèi)密切相關(guān)，一旦有漏洞被黑客利用，可能出現(xiàn)商品價格等信息被篡改、用戶數(shù)據(jù)庫泄露、用戶消費(fèi)憑據(jù)和賬戶余額失竊，以及網(wǎng)站被黑客利用組織釣魚欺詐活動等多重危害，使商家和消費(fèi)者蒙受經(jīng)濟(jì)損失；

第三、團(tuán)購網(wǎng)站安全問題已開始顯現(xiàn)，例如：

1)某知名團(tuán)購網(wǎng)站的市場活動遭黑客攻擊而被迫喊停，不僅賠了數(shù)百萬元，聲譽(yù)也受到影響；

2)微博傳言某團(tuán)購網(wǎng)站被黑客利用SQL注入漏洞刷庫（竊取數(shù)據(jù)庫），導(dǎo)致大量用戶名和密碼泄露，而團(tuán)購用戶一般使用常用郵箱和密碼注冊，很可能和網(wǎng)上支付等重要賬戶使用同一套用戶名和密碼；

3)此外，有技術(shù)人員發(fā)現(xiàn)某團(tuán)購網(wǎng)站“砸金蛋”活動存在漏洞，寫段JS腳本自動砸了2000多個“金蛋”，所幸該技術(shù)人員通知團(tuán)購網(wǎng)站修復(fù)了漏洞。

修復(fù)漏洞、強(qiáng)化網(wǎng)站安全機(jī)制，無疑是團(tuán)購網(wǎng)站正常運(yùn)營的保障。近期，360網(wǎng)站安全檢測平臺在289家團(tuán)購網(wǎng)站授權(quán)下，對這些網(wǎng)站進(jìn)行了安全檢測，結(jié)果表明：

 v70.6%的團(tuán)購網(wǎng)站存在高危漏洞，可被黑客輕易攻擊利用；存在嚴(yán)重級別漏洞和警告級別漏洞團(tuán)購網(wǎng)站比例分別為54.7%和66.4%，而完全沒有明顯漏洞的團(tuán)購網(wǎng)站比例僅為5.5%；

 v高危漏洞中，跨站腳本漏洞、團(tuán)購程序漏洞，以及SQL注入漏洞是出現(xiàn)頻率最高的三類漏洞，存在上述漏洞的團(tuán)購網(wǎng)站比例分別為61.3%、41.5%和19.4%，大量網(wǎng)站同時存在多種不同類型的高危漏洞。

 v知名大型團(tuán)購網(wǎng)站的安全狀況相對較好，出現(xiàn)高危漏洞的網(wǎng)站比例為25.0%，出現(xiàn)嚴(yán)重漏洞的網(wǎng)站比例為12.5%（知名大型團(tuán)購網(wǎng)站，指艾瑞數(shù)據(jù)統(tǒng)計中月度活躍用戶量超過500萬的團(tuán)購網(wǎng)站）；

 v部分中小型團(tuán)購網(wǎng)站欠缺安全意識和專業(yè)維護(hù)能力。以漏洞種類計算，個別網(wǎng)站存在9種不同類型的漏洞；以漏洞數(shù)量計算，個別網(wǎng)站存在39個漏洞；

 v在360網(wǎng)站安全檢測平臺和360團(tuán)購導(dǎo)航的協(xié)助下，大多數(shù)團(tuán)購網(wǎng)站可快速自主修復(fù)漏洞，提高網(wǎng)站防護(hù)能力。目前，經(jīng)過360檢測的團(tuán)購網(wǎng)站已陸續(xù)對漏洞進(jìn)行了修復(fù)處理。

360網(wǎng)站安全檢測平臺認(rèn)為：團(tuán)購網(wǎng)站作為重要的電子商務(wù)載體，哪怕只是一點安全問題的細(xì)微疏忽，也可能出現(xiàn)難以挽回的業(yè)務(wù)和用戶財產(chǎn)損失。然而從此次檢測結(jié)果判斷，大多國內(nèi)團(tuán)購網(wǎng)站的安全性并無法滿足用戶放心消費(fèi)、網(wǎng)站安全經(jīng)營的需要。

為此，360將在本次《2011年中國團(tuán)購網(wǎng)站安全報告》中，對團(tuán)購網(wǎng)站普遍存在的漏洞風(fēng)險進(jìn)行統(tǒng)計和分析，并提供解決方案，希望能夠引導(dǎo)團(tuán)購網(wǎng)站加強(qiáng)安全意識，在網(wǎng)站安全管理方面做到防患于未然。

免責(zé)聲明

本報告為360安全中心旗下360網(wǎng)站安全檢測平臺、360團(tuán)購導(dǎo)航發(fā)布的研究數(shù)據(jù)和分析資料。該報告的主要數(shù)據(jù)來源于授權(quán)360進(jìn)行網(wǎng)站安全檢測的289家團(tuán)購網(wǎng)站，檢測日期為2011年9月。

本報告可供任何個人、政府相關(guān)部門及行業(yè)機(jī)構(gòu)、企事業(yè)單位參考，但對于本報告所闡述之內(nèi)容、數(shù)據(jù)及分析結(jié)果，360安全中心不承擔(dān)與此相關(guān)的一切法律責(zé)任。

注：團(tuán)購網(wǎng)站授權(quán)360進(jìn)行網(wǎng)站安全檢測，即團(tuán)購網(wǎng)站的所有者提出檢測申請，并通過網(wǎng)站所有者的身份證明驗證，360網(wǎng)站安全檢測平臺再通過在線掃描的方式為網(wǎng)站提供漏洞檢測、掛馬檢查、篡改檢測等多項免費(fèi)服務(wù)。

正文目錄

第一章 團(tuán)購網(wǎng)站安全檢測結(jié)果 5

（一）70.6%的團(tuán)購網(wǎng)站存在高危漏洞 5

（二）國內(nèi)團(tuán)購網(wǎng)站常見漏洞TOP10統(tǒng)計 6

（三）典型的團(tuán)購網(wǎng)站安全檢測報告示例 8

第二章 團(tuán)購網(wǎng)站漏洞會導(dǎo)致哪些風(fēng)險 9

（一）用戶密碼和消費(fèi)憑據(jù)泄露 9

（二）團(tuán)購內(nèi)容被篡改 10

（三）團(tuán)購網(wǎng)站被利用釣魚或被惡意控制 10

第三章 提高團(tuán)購網(wǎng)站安全性的解決方案 11

（一）強(qiáng)化網(wǎng)站安全意識 11

（二）定期進(jìn)行網(wǎng)站安全檢測 11

（三）實時監(jiān)控網(wǎng)站安全狀況 11#p#

第一章 團(tuán)購網(wǎng)站安全檢測結(jié)果

（一）70.6%的團(tuán)購網(wǎng)站存在高危漏洞

經(jīng)過360網(wǎng)站安全檢測平臺檢測：70.6%的團(tuán)購網(wǎng)站存在高危漏洞，可能使團(tuán)購網(wǎng)站或用戶遭遇安全威脅；此外，分別有54.7%和66.4%的團(tuán)購網(wǎng)站存在嚴(yán)重漏洞或警告漏洞；存在提示級別漏洞的網(wǎng)站比例高達(dá)93.8%，不過提示級別漏洞一般并不會形成直接風(fēng)險，屬于可選修復(fù)的漏洞：

值得注意的是，大型團(tuán)購網(wǎng)站的安全狀況明顯強(qiáng)于行業(yè)平均水平。此次360網(wǎng)站安全檢測平臺一共檢測了8家月度用戶數(shù)在500萬以上的大型團(tuán)購網(wǎng)站（據(jù)艾瑞統(tǒng)計數(shù)據(jù)），存在高危漏洞、嚴(yán)重漏洞和警告漏洞的網(wǎng)站比例分別是25.0%、12.5%和25.0%。然而由于黑客往往選擇大網(wǎng)站作為攻擊目標(biāo)，例如通過SQL注入漏洞竊取用戶數(shù)據(jù)庫，因此大型團(tuán)購網(wǎng)站更應(yīng)重視安全防護(hù)。

另據(jù)統(tǒng)計，在360網(wǎng)站安全檢測平臺協(xié)助各團(tuán)購網(wǎng)站修復(fù)漏洞之前，僅16家網(wǎng)站完全不存在明顯漏洞，所占比例只有5.5%。

注：根據(jù)漏洞風(fēng)險程度及其被黑客利用的可能性，360網(wǎng)站安全檢測平臺將網(wǎng)站漏洞分為高危、嚴(yán)重、警告、提示等四個級別，主要包括下列22種具體漏洞類型：

（二）國內(nèi)團(tuán)購網(wǎng)站常見漏洞TOP10統(tǒng)計

360針對289家團(tuán)購網(wǎng)站的檢測發(fā)現(xiàn)，國內(nèi)團(tuán)購網(wǎng)站中最常見的漏洞是跨站腳本漏洞，共177家網(wǎng)站出現(xiàn)了426個跨站腳本漏洞；危害最嚴(yán)重的則是SQL注入漏洞，共56家網(wǎng)站存在139個SQL注入漏洞。

以下是一個跨站腳本漏洞示例：

以下是一個SQL注入漏洞示例：

根據(jù)漏洞出現(xiàn)的網(wǎng)站比例排序，國內(nèi)團(tuán)購網(wǎng)站常見漏洞TOP10統(tǒng)計如下：

需要特別指出的是，41.5%的團(tuán)購網(wǎng)站存在團(tuán)購程序漏洞，具體為“最土”、“天天團(tuán)購”程序UC接口uc_key未初始化漏洞，占所有使用“最土”、“天天團(tuán)購”程序的網(wǎng)站比例為64.4%。究其原因，說明國內(nèi)多數(shù)團(tuán)購網(wǎng)站安全意識欠缺，忽視了升級團(tuán)購程序版本來修復(fù)漏洞。而且該漏洞的危害也非常大，可能導(dǎo)致黑客無需密碼就以網(wǎng)站管理員身份登錄，或隨意登錄其他用戶的帳號（在獲取他人帳號名的情況下），篡改網(wǎng)站內(nèi)容或竊取他人的消費(fèi)憑據(jù)。

（三）典型的團(tuán)購網(wǎng)站安全檢測報告示例

以360網(wǎng)站安全檢測平臺針對某團(tuán)購網(wǎng)站的檢測報告為例，說明網(wǎng)站漏洞情況和處理方案：

經(jīng)某團(tuán)購網(wǎng)站授權(quán)，360網(wǎng)站安全檢測平臺在9月17日掃描發(fā)現(xiàn)該網(wǎng)站存在30個漏洞，包括4個高危級別漏洞、17個警告級別漏洞，以及9個提示級別漏洞；

具體漏洞描述和修復(fù)建議如以下例所示：

#p#

第二章 團(tuán)購網(wǎng)站漏洞會導(dǎo)致哪些風(fēng)險

由于網(wǎng)站漏洞的觸發(fā)需要特定的場景，在黑客針對網(wǎng)站的實際攻擊行為中，通常會組合利用多種不同類型的漏洞，包括運(yùn)用社會工程學(xué)手段、弱口令破解等方式，達(dá)到其入侵和滲透目的。

比如高危級別的“SQL注入漏洞”和警告級別的“本地路徑暴露”，如果有網(wǎng)站同時存在這兩個漏洞，黑客就有可能在網(wǎng)站服務(wù)器上運(yùn)行腳本后門程序，隨意篡改網(wǎng)站內(nèi)容；如果服務(wù)器操作系統(tǒng)又存在本地提權(quán)漏洞，黑客又可以利用漏洞使腳本后門獲得系統(tǒng)最高權(quán)限，這意味著網(wǎng)站服務(wù)器的硬盤也可能被黑客格式化。

下文將以漏洞影響為依據(jù)，分析哪些具體的團(tuán)購業(yè)務(wù)可能受到網(wǎng)站漏洞的威脅。

（一）用戶密碼和消費(fèi)憑據(jù)泄露

在團(tuán)購網(wǎng)站漏洞中，SQL注入漏洞是目前影響最大的漏洞之一。利用該漏洞，黑客可能讀取網(wǎng)站數(shù)據(jù)庫，獲得注冊用戶的帳號和密碼。此前有微博傳言稱，國內(nèi)某團(tuán)購網(wǎng)站用戶數(shù)據(jù)庫被黑客“刷庫”。由于19.4%的團(tuán)購網(wǎng)站存在SQL注入漏洞，這種風(fēng)險確實存在。

更為嚴(yán)重的是，團(tuán)購網(wǎng)站的帳號和密碼通常是網(wǎng)民的常用郵箱和密碼。這類用戶數(shù)據(jù)如果泄露，很可能被黑客利用在網(wǎng)上支付平臺進(jìn)行試探，如果恰好有人在網(wǎng)上支付平臺和團(tuán)購網(wǎng)站使用了相同的注冊郵箱和密碼，網(wǎng)上支付賬戶的余額就會被黑客盜取。

因此對于團(tuán)購網(wǎng)站來說，不僅需要修復(fù)網(wǎng)站漏洞，還應(yīng)對重要的用戶數(shù)據(jù)進(jìn)行加密處理，降低用戶蒙受損失的風(fēng)險；對網(wǎng)民來說，則應(yīng)避免使用同一套帳號密碼，而是要按照帳號重要程度對密碼進(jìn)行分級管理。

另一項不容忽視的風(fēng)險是，有些網(wǎng)站漏洞一旦被黑客利用，可使黑客登錄他人的團(tuán)購帳號，例如團(tuán)購程序漏洞、跨站腳本漏洞、CRLF注入HTTP響應(yīng)拆分漏洞等。我們知道，團(tuán)購商品包括許多本地化的消費(fèi)，例如餐飲、電影票等，只需憑團(tuán)購券號即可消費(fèi)，這些消費(fèi)憑據(jù)泄露的可能性也同樣存在。

（二）團(tuán)購內(nèi)容被篡改

在熱衷于攻擊網(wǎng)站的黑客群體中，部分黑客習(xí)慣篡改網(wǎng)頁，留下入侵標(biāo)識進(jìn)行炫耀。在搜索引擎搜索hacked by，僅中文網(wǎng)頁的搜索結(jié)果就有數(shù)十萬條。

對于團(tuán)購網(wǎng)站來說，如果網(wǎng)頁被黑客篡改，其結(jié)果將嚴(yán)重影響用戶對交易安全的信任感，造成客戶流失；此外，團(tuán)購網(wǎng)站頁面內(nèi)容和業(yè)務(wù)關(guān)聯(lián)緊密，如果商品頁面信息、甚至商品價格被他人惡意篡改，比如價值100元的商品被黑客惡作劇式修改為1元，可想而知將會造成巨大的經(jīng)濟(jì)損失。

在不同類型網(wǎng)站漏洞中，黑客利用SQL注入漏洞、團(tuán)購程序漏洞、目錄的寫權(quán)限啟用、PUT方法啟用等多種漏洞或不同漏洞的組合攻擊，都可能造成團(tuán)購網(wǎng)站內(nèi)容被篡改的后果。

（三）團(tuán)購網(wǎng)站被利用釣魚或被惡意控制

在利用團(tuán)購網(wǎng)站漏洞的釣魚攻擊中，跨站腳本漏洞和CRLF注入HTTP響應(yīng)拆分漏洞非常典型。舉例說明：

某天你在泡論壇，看到有篇帖子推薦了一款團(tuán)購商品，價格令人動心，而且網(wǎng)址域名是你熟悉的一家團(tuán)購網(wǎng)站。當(dāng)你點擊鏈接打開網(wǎng)頁，網(wǎng)頁表面看起來也和你熟悉的那家團(tuán)購網(wǎng)站一模一樣。請注意，這時頁面可能已經(jīng)執(zhí)行了惡意腳本，在你面前打開的是黑客仿冒構(gòu)造的一個釣魚頁面（跨站腳本漏洞）；或者，網(wǎng)址悄然重定向跳轉(zhuǎn)到釣魚網(wǎng)站上，讓你不知不覺間就從A網(wǎng)站來到黑客的B網(wǎng)站（CRLF注入HTTP響應(yīng)拆分漏洞）。

如果通過此類釣魚頁面進(jìn)行支付交易，交易資金很可能被黑客劫持，甚至網(wǎng)銀、網(wǎng)上支付的賬戶密碼也被黑客竊取。

另外，曾有技術(shù)人員曝光稱，某團(tuán)購網(wǎng)站的VIP會員活動、砸金蛋活動，甚至賬戶余額充值多次出現(xiàn)程序的用戶交互漏洞，可以繞過權(quán)限驗證隨意領(lǐng)紅包、無限砸金蛋和充值。與此相比，黑客利用網(wǎng)站漏洞實施滲透控制的后果更為嚴(yán)重。

例如，當(dāng)團(tuán)購網(wǎng)站服務(wù)器被黑客利用漏洞植入腳本后門，黑客可獲得控制網(wǎng)站的權(quán)限，更進(jìn)一步還可獲得網(wǎng)站服務(wù)器系統(tǒng)的高級權(quán)限。這意味著，團(tuán)購網(wǎng)站的各種交易、活動均可能被他人暗中操縱，而不僅僅是領(lǐng)紅包、砸金蛋或賬戶充值，團(tuán)購網(wǎng)站的所有資料、數(shù)據(jù)也可能被隨時摧毀。

第三章 提高團(tuán)購網(wǎng)站安全性的解決方案

對團(tuán)購網(wǎng)站等電子商務(wù)平臺而言，網(wǎng)站安全是一個綜合性多元化問題，包括系統(tǒng)安全、數(shù)據(jù)安全、交易平臺安全等，全方位解決安全問題需要完善的管理機(jī)制和專業(yè)技術(shù)保障。360網(wǎng)站安全檢測平臺建議，團(tuán)購網(wǎng)站應(yīng)該從以下三個方面提升網(wǎng)站的安全性：

（一）強(qiáng)化網(wǎng)站安全意識

1.由專業(yè)技術(shù)人員進(jìn)行安全維護(hù)

安全對電子商務(wù)運(yùn)營的重要性不言而喻，有些團(tuán)購網(wǎng)站的WEB程序是外包開發(fā)的，而且網(wǎng)站程序的開發(fā)人員沒有安全編程經(jīng)驗，極易造成各種漏洞。

2.及時為服務(wù)器操作系統(tǒng)和網(wǎng)站程序打好補(bǔ)丁

有些網(wǎng)站使用版本陳舊的程序，服務(wù)器操作系統(tǒng)也不注意更新補(bǔ)丁，存在大量廣為人知的漏洞，當(dāng)然會輕易被黑客利用入侵，成為傀儡主機(jī)。

3.嚴(yán)謹(jǐn)?shù)臏y試流程

在任何網(wǎng)站應(yīng)用上線前，都應(yīng)從安全角度進(jìn)行測試，去除不必要的風(fēng)險因素。在用戶交互環(huán)節(jié)，更應(yīng)注意控制權(quán)限，過濾可能出現(xiàn)的威脅。

（二）定期進(jìn)行網(wǎng)站安全檢測

一些網(wǎng)站管理者認(rèn)為，“在網(wǎng)絡(luò)中不斷部署防火墻、入侵檢測系統(tǒng)、入侵防御系統(tǒng)等設(shè)備，就可以提高網(wǎng)絡(luò)的安全性”。其實這樣的認(rèn)識存在誤區(qū)，根本原因在于，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備難以抵御應(yīng)用層的攻擊，最有效的網(wǎng)站安全解決方案是修復(fù)漏洞。

在網(wǎng)站安全檢測方面，360網(wǎng)站安全檢測平臺提供了集“漏洞檢測”、“掛馬檢測”和“篡改檢測”于一體的一站式免費(fèi)服務(wù)平臺，擁有國內(nèi)最全的網(wǎng)站漏洞檢測庫及強(qiáng)大的蜜罐集群檢測系統(tǒng)，并可在第一時間為高危0day漏洞提供修復(fù)建議。

（三）實時監(jiān)控網(wǎng)站安全狀況

網(wǎng)站被掛馬或篡改，不僅會降低用戶對其的信任度，更嚴(yán)重危害網(wǎng)絡(luò)安全或造成不良影響。此外，360網(wǎng)站安全檢測平臺提供了實時的掛馬監(jiān)控和篡改監(jiān)控功能，一旦發(fā)現(xiàn)網(wǎng)站被掛馬或被篡改，能夠自動以郵件等方式通知站長，將網(wǎng)站蒙受損失的風(fēng)險降到最低。

360網(wǎng)站安全檢測平臺客戶服務(wù)信息

·電話：010 58781029

·新浪微博：360網(wǎng)站安全檢測（http://weibo.com/360webscan）

·飛信：276288123

·QQ：2567356988

·郵箱：websecurity360@hotmail.com

·Gtalk：360websecurity@gmail.com