【資安周報第55期】中國網站比你想的更危險，平均有773個漏洞沒修

日前，中國電信、安全幫、綠盟科技和安恒信息聯手發表一份「2016年上半年中國網站安全報告」，掃描38.2萬個網站後發現，共有網站安全漏洞1,480.5萬個漏洞，平均每個網站有773個漏洞，高危險漏洞數量為22個，比去年同期增加17.5％；其中，有37.3％的中國網站有XSS漏洞；若從產業來看，則有75％的地方政府和地方企業網站有高風險漏洞，其中XSS漏洞占所有高風險漏洞38.3％，表示中國有51.1％的地方政府和地方企業網站有XSS漏洞，比臺灣31.5％重要政府官網有XSS漏洞還高。

從這份中國民間釋出的網站安全報告可以發現，這些重點漏洞多年來的修復速度緩慢，導致許多網站受害嚴重，包括民間地方企業和地方政府的多數網站，都處於不安全的狀態，因此在瀏覽中國網站時，仍必須留意不要點擊不明的網址連結以確保使用者安全。

中國網站最嚴重的漏洞就是XSS，平均每個網站有773個漏洞

這份報告分成3個數據，包括掃描出來的漏洞、網路監測到的疑似攻擊以及網站安全事件。首先，該份報告指出，資安業者監控382,947個網站，掃描出來的漏洞高達14,80.5萬個，經過驗證的高危險漏洞占漏洞掃描總數的2.8％，平均每個網站有773個漏洞，高危險漏洞數量為22個，比去年同期增加17.5％。駭客往往可以利用這些高危險漏洞完全掌控該受駭網站，也可以繞過系統防火牆控制整個網站伺服器，進而危害到整個網站的正常運作。

從揭露的漏洞中可以發現，高危險性的跨站腳本攻擊（XSS）漏洞是所有漏洞中數量最多的，將近14.3萬個漏洞，占所有高風險漏洞近4成（38.3％）；以行業別來看，75％的地方政府和地方企業都有這些高風險的漏洞，而XSS漏洞占所有高風險漏洞的38.3％，意味著，中國有51.1％的地方政府和地方企業網站都有XSS漏洞。

駭客可以利用這樣的漏洞在網站中植入任意的代碼，插入各種iframe，不論是竊取網站管理員或使用者的Cookie，隱藏網頁掛碼的存在，甚至是格式化使用者的電腦硬碟等，只要是這些腳本程式可以做到的功能，都是有XSS漏洞網站必須要面對的潛在威脅。

該份報告中排名第二名～第五名的漏洞依序就是：鏈結注入漏洞、SQL注入漏洞（SQL Injection）、框架注入漏洞和Cookie注入漏洞，和威脅最高的XSS相比，後續漏洞的數量大約占整體高風險漏洞的10％左右，比例雖然較少，但是危害仍大。

鏈結注入（Injection with url as payload）和框架注入都算是跨站腳本攻擊的一種變種攻擊，可以直接在使用者瀏覽的網頁中植入各種惡意連結或各種輸入框，如果上述植入的惡意連結或是輸入框涉及使用者帳號密碼，也意味著駭客可以利用這個漏洞竊取使用者的機敏資料。

另外，駭客也可以利用常見的SQL Injection漏洞，除了竊取並外洩網站資料庫的資訊，也可以竄改資料庫資料或把整個資料庫刪除；Cookie注入漏洞手法較為複雜，但危險性和SQL Injection類似，也可以竊取網站管理員和使用者的帳號、密碼。

從該份報告中也可以發現，有56.15％的地方政府網站和19.27％地方企業網站都具有上述高風險漏洞，合計占高風險漏洞的75％；若進一步分析，地方企業網站平均有58個高風險漏洞，政府網站平均有17個高風險漏洞。

網站攻擊手法以伺服器資料外洩比例最高，其次為SQL注入和XSS

從該份資安報告來看，可以發現駭客也經常利用自動化掃描工具針對網站進行掃描，目前可以得知，駭客最常針對網站的目錄和網頁寫爬蟲程式，以了解整個網站內容架構。例如，駭客若要嘗試入侵使用者網站時，會利用暴力破解方式取得後臺管理指令，也同時利用目錄越權訪問和SQL注入攻擊等手法；最常拜訪的網頁頁面是網站管理登入頁面、搜索頁面、資料庫文件保存頁面和網頁後門頁面等等。

該份報告也揭露中國網站受到攻擊的來源位址或國家，駭客最主要發動攻擊的來源中，超過一半來自湖北（54.5％），其次為浙江（14％）、廣東（10.8％）、北京（7.5％）和山東（5.3％），另外有2.2％的攻擊來自美國，排名第七名。以湖北為例，甚至有一臺來自湖北武漢的受駭主機，已經對外發動960萬次的攻擊且會自動離線消除攻擊的蹤跡。

這些中國網站受到的Web攻擊事件次數高達2億8361.5萬次，，超過3成（35.4％）是伺服器的資料外洩，27.8％是SQL注入攻擊（SQL Injection），跨站腳本攻擊（XSS）比例也有18％。

但最有趣的是，從該份報告中看出資安業者對於Web攻擊區分成4類攻擊行為模式，分別是中國白帽駭客對政府、金融和重點企業的全面掃描和定點滲透；中國黑產對政府、金融及重點企業的定點、持續性滲透；國外駭客、敵對組織對中國網站長期、無差別的掃描與隨機滲透；以及最後一種是中國黑產組織對攻擊目標網站的定點DDoS攻擊。

上述提到的白帽駭客的掃描和滲透，報告中則指出，這些揭露網站漏洞的白帽駭客已經轉成灰帽駭客，加上漏洞提報平臺良莠不齊，白帽駭客的增加及大量使用自動化掃描工具，也對中國網站的防禦能力和系統資源的使用帶來壓力，甚至於，報告中也認為，白帽駭客揭露的漏洞，也會帶來機敏資料二次外洩或公眾恐慌。

從這樣的報告說明中，也可以看出，中國最大也最早的漏洞揭露平臺烏雲自從今年7月20日「無限期升級」的公告以來，迄今遲遲沒有復站的消息，也可以大致看出，當中國官方反對漏洞揭露的行為時，中國資安產業對於這類漏洞揭露的態度更是漸趨保守。

中國也同樣遭到外部的組織型駭客攻擊，主要攻擊中國政府和教育單位的網站，發現最多的攻擊駭客組織則是與伊斯蘭駭客往來密切、針對.cn網站長期持續攻擊的「chinafans」，以及來自土耳其的網軍「Akincilar」，主要是以攻擊中國、美國和以色列為主，中國教育類網站是最嚴重的受駭類型。

6類網路安全事件層出不窮

該份報告指出，中國最常見的網路攻擊事件大致可分成6種，包括網頁竄改、惡意連結和掛馬、機敏資訊外洩、網站可用性不良、DNS解析異常以及假冒網站等。

以網頁竄改為例，該份報告指出，受駭最嚴重的產業其實是地方企業（37.4％）、電信業者（23％）和政府（13.5％）最高；惡意連結和掛馬可以分成6類，超過7成（75.2％）和博彩有關，其次為遊戲類（11.9％）、廣告推銷（8.1％）、醫療（3.1％）、色情（1.3％）和影視（0.4％）；在機敏資訊外洩的行業別中，多數是三大產業：地方企業（59.2％）、能源業（16.6％）和政府（16.1％）；假冒網站的部分，超過7成（70.2％）以假冒政府網站為主，將近3成（28.6％）假冒網站是以金融業為主。

中國網站面臨各種資安風險，針對政府和企業所做的調查中發現，95％的單位都有專門的人負責安全維運，但是安全團隊超過5人的單位則不到20％，也有超過一半的單位沒有資安制度和資安事件的緊急應變SOP流程。從這份調查中也可以看出來，中國網站有超過70％都是委外建置，超過40％是委外代管，當多數單位對於委外過程了解不足時，也很容易帶來許多的資安隱憂。

但整體而言，多數的中國網站維運的單位沒有定期做安全掃描的習慣，也難以掌握網站安全現況；因為不了解網站的資安風險所在，也就難以進一步修復網站，當然，也會面臨缺乏資源（人和錢）修復漏洞的情況。但是，資安人員最害怕的事情則是，因為漏洞太多，根本沒有時間修復，日復一日，網站只有更越來越危險，對於所有網站瀏覽者而言，因為不清楚網站的安全與否，可能在無形之中就成為受駭者。

＠資料來源：2016年上半年中國網站安全報告，2016年12月

中國網站受到的Web攻擊事件次數高達2億8361.5萬次，，超過3成（35.4％）是伺服器的資料外洩，27.8％是SQL注入攻擊（SQL Injection），跨站腳本攻擊（XSS）比例也有18％。