根據(jù)安全公司Menlo Security的最新報(bào)告，全球最流行的前一百萬(wàn)個(gè)網(wǎng)站中有三分之一存在漏洞，或者已經(jīng)被黑客入侵。

[[130584]]

舉 例而言，上個(gè)月黑客利用福布斯網(wǎng)站(Frobes.com)進(jìn)行了一次只持續(xù)了幾天的快速水坑攻擊。攻擊利用了Adobe Flash的零日漏洞。Menlo公司的技術(shù)人員也關(guān)注了此次攻擊，同時(shí)發(fā)現(xiàn)還有其它為數(shù)不少的網(wǎng)站也被入侵，這些網(wǎng)站向不知情的用戶植入惡意軟件。

為 了進(jìn)一步進(jìn)行研究和分析，技術(shù)人員根據(jù)Alexa排名列表，研究了最流行的一百萬(wàn)個(gè)網(wǎng)站。他們先是下載普通用戶訪問(wèn)時(shí)會(huì)從網(wǎng)站上下載的數(shù)據(jù)，包括HTML 框架(iFrames)、嵌入內(nèi)容(embeds)、小插件(widgets)和網(wǎng)絡(luò)廣告(ad networks)，也就是在訪問(wèn)網(wǎng)站時(shí)下載到瀏覽器中的所有內(nèi)容，然后將其和已知的惡意網(wǎng)站進(jìn)行比對(duì)并記錄。

研究發(fā)現(xiàn)，有66%的網(wǎng)站上沒(méi)有檢測(cè)到漏洞，但其余34%的網(wǎng)站都存在“有風(fēng)險(xiǎn)”。而且，其中22%的網(wǎng)站運(yùn)行在有漏洞的系統(tǒng)上。比如，超過(guò)10%的網(wǎng)站都運(yùn) 行在容易被入侵的PHP應(yīng)用框架下。另外8%使用的是有同樣有風(fēng)險(xiǎn)的網(wǎng)站服務(wù)軟件，一半是Apache，另一半則是IIS。

此外，2%的網(wǎng)站使用有風(fēng)險(xiǎn)的CMS(內(nèi)容管理系統(tǒng))，其中一半是Wordpress，另一半則是Drupal。

調(diào)查表明，尋找運(yùn)行有隱患軟件的網(wǎng)站并不需要什么特別的技術(shù)，網(wǎng)站的基礎(chǔ)服務(wù)架構(gòu)信息可以被任何發(fā)出請(qǐng)求的瀏覽器所獲取。

除去這些容易被黑的網(wǎng)站之外，還有4%的網(wǎng)站已經(jīng)被惡意軟件入侵，另外4%則被用于制造垃圾郵件僵尸網(wǎng)絡(luò)。而這些幾乎都是全世界最廣受信任的網(wǎng)站。

該項(xiàng)研究還調(diào)查了那些容易被入侵的網(wǎng)站類型，在各種主流的網(wǎng)站分類下，比如科技、商業(yè)、購(gòu)物、娛樂(lè)、新聞、旅游、金融、體育等，有漏洞的比例大體上徘徊在20%上下。

另外有些網(wǎng)站類別的漏洞比例則遠(yuǎn)遠(yuǎn)高出這個(gè)量級(jí)，甚至可以達(dá)到80%，如非法下載網(wǎng)站，可以想象它的安全狀況有多么的糟糕。

但這些網(wǎng)站與福布斯網(wǎng)站有很大的不同，用戶和業(yè)界已經(jīng)對(duì)大部分非法網(wǎng)站提高了警惕。而福布斯網(wǎng)站則廣為人知，人們先入為主地信任它。但Menlo公司的研究表明，這種想法太想當(dāng)然了。

我們有什么辦法改變現(xiàn)狀嗎?

原文地址：http://www.aqniu.com/security-reports/7084.html