某市企业网站安全防护情况调查分析

声 明

本文由Tide安全团队成员“TideSec”首发于FreeBuf TideSec专栏:

https://www.freebuf.com/column/202691.html

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

1.1 概述

为了掌握某市大、中、小、微企业网站的网络安全防护情况,在获得相关授权后我们组织人员对某市企业网站信息进行收集汇总并进行调查分析。

本次调查主要针对网站暗链、敏感字、是否采用开源CMS、是否部署WAF等防护设备、开放端口等内容,从而全面的了解企业网站的防护现状。

某省中小型企业共约240万家,而某市工商局登记的某市企业共约32万,我们从工商部门获知登记了企业网站的企业共有34000家左右,由于数据量较大,我们从中随机抽选了3000家网站作为本次调查对象。

1.2 敏感字检测结果

我们使用网站安全监测平台,对3000个站点进行了主要页面爬取,并对其中的敏感字和暗链进行检测。检测数据如下:

部分站点被修改了网站首页,如:

部分站点被直接植入了暗链,如:

对检测结果进行汇总,情况如下:

检测项

篡改首页

植入暗链

包含敏感字

站点数量

120

260

430

整体情况表图如下:

1.3 WAF部署情况

目前网站前端防护措施中,各种WAF设备是普及率比较高而且防护效果相对比较好的,而WAF又包括了云WAF(云盾、创宇盾等)、硬WAF(安恒WAF、启明星辰WAF设备等)、软WAF(安全狗、modsecurity等)。

我们使用自主研发的WafDetect工具和开源的wafw00f相结合,对目标站点进行批量检测,探测是否使用WAF等防护设备。

经过测试,3000个站点WAF部署情况如下。

分类

部署WAF

未部署WAF

情况未知

数量

523

2263

214

其中情况未知部分是由于网站访问超时或无法访问的结果。

而部署了WAF的523个站点使用的WAF类型分布如下。

云WAF

硬WAF

软WAF

数量

265

48

187

汇总后的WAF部署情况汇总如下表。

说明大部分企业为了节省成本,在网站安全防护中只是投入了较少的资金或未投入资金,就算是部署了WAF防护也是大多使用了云WAF或软WAF。

1.4 开源CMS使用情况

开源CMS虽然具有快速部署、接口丰富、功能完善等优点,但也存在一旦爆发通用型漏洞会直接影响所有使用该CMS的网站,再加上企业网站一般不会及时升级,导致很多使用了开源CMS的网站都或多或少存在漏洞。

我们使用指纹识别技术对网站进行识别分析,主要是对常见CMS如帝国CMS、phpcms、jeecms、dedecms等200多种通用CMS进行识别。

经过检测,3000个站点通用CMS使用情况如下。

分类

通用CMS

其他

数量

1875

1125

而使用了通用CMS的种类分布如下。

分类

帝国CMS

Phpcms

DedeCMS

jeecms

discuz

wordpress

其它

数量

489

175

164

98

67

139

743

汇总后的通用CMS使用情况汇总如下表。

经统计,发现近2/3的网站使用了通用的CMS做网站框架,部分进行了二次开发或功能定制,但核心模块仍为通用CMS,一旦出现通用型的CMS漏洞网站很容易受到威胁。

1.5 开放端口情况统计

我们使用端口扫描工具对端口开放情况进行了统计,从而了解网站开放服务情况、网站系统架构、易受威胁程度等。

经过检测,发现大部分网站开放了1-4个端口,小部分网站开放端口较多。部分检测数据如下:

经过检测,3000个站点端口开放情况如下。

端口数量

1个端口

2-4个端口

4-10个端口

10个以上

站点数量

461

1922

530

87

对开放的端口进行统计,排序如下:

端口

80

8080

22

3389

21

139

445

数量

2750

412

458

864

67

291

346

端口开放汇总图表如下:

1.6 调查结论

1、企业网站的内容更新相对较慢,在检测中我们发现有些网站被篡改页面或植入暗链长达数月之久,但网站所属企业并没有对网站进行修复,说明企业并不知道网站被入侵或者并不想修复。

2、企业网站防护措施相比政府金融等网站非常薄弱,只有极少部分的中大型企业才会投资硬件设备进行安全防护,其他采用云防护或软WAF防护的企业相对数量也较少,说明企业对网站自身的安全重视程度还不够。

3、近三分之二的企业网站使用了通用的CMS做网站框架,部分进行了二次开发或功能定制,但核心模块仍为通用CMS,一旦出现通用型的CMS漏洞网站很容易受到威胁。而通用CMS的确能大大节省网站的开发成本,这也说明企业在网站建设方面的投资还是较为有限。

4、从端口开放情况来看,大部分网站开放了3389和22端口进行远程维护。同时也间接说明windows服务器数量和linux类服务器的数量比大约为2:1,而windows服务器仍有较大一部分开放了139和445等端口,而近两年爆发的windows高危溢出漏洞很多都是通过这两个端口进行传播

原文发布于微信公众号 - 玄魂工作室(xuanhun521)

原文发表时间:2019-05-30

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券