根据安全公司Menlo Security的最新报告,全球最流行的前一百万个网站中有三分之一存在漏洞,或者已经被黑客入侵。
举例而言,上个月黑客利用福布斯网站(Frobes.com)进行了一次只持续了几天的快速水坑攻击。攻击利用了Adobe Flash的零日漏洞。Menlo公司的技术人员也关注了此次攻击,同时发现还有其它为数不少的网站也被入侵,这些网站向不知情的用户植入恶意软件。
为了进一步进行研究和分析,技术人员根据Alexa排名列表,研究了最流行的一百万个网站。他们先是下载普通用户访问时会从网站上下载的数据,包括HTML框架(iFrames)、嵌入内容(embeds)、小插件(widgets)和网络广告(ad networks),也就是在访问网站时下载到浏览器中的所有内容,然后将其和已知的恶意网站进行比对并记录。
研究发现,有66%的网站上没有检测到漏洞,但其余34%的网站都存在“有风险”。而且,其中22%的网站运行在有漏洞的系统上。比如,超过10%的网站都运行在容易被入侵的PHP应用框架下。另外8%使用的是有同样有风险的网站服务软件,一半是Apache,另一半则是IIS。
此外,2%的网站使用有风险的CMS(内容管理系统),其中一半是Wordpress,另一半则是Drupal。
调查表明,寻找运行有隐患软件的网站并不需要什么特别的技术,网站的基础服务架构信息可以被任何发出请求的浏览器所获取。
除去这些容易被黑的网站之外,还有4%的网站已经被恶意软件入侵,另外4%则被用于制造垃圾邮件僵尸网络。而这些几乎都是全世界最广受信任的网站。
该项研究还调查了那些容易被入侵的网站类型,在各种主流的网站分类下,比如科技、商业、购物、娱乐、新闻、旅游、金融、体育等,有漏洞的比例大体上徘徊在20%上下。
另外有些网站类别的漏洞比例则远远高出这个量级,甚至可以达到80%,如非法下载网站,可以想象它的安全状况有多么的糟糕。
但这些网站与福布斯网站有很大的不同,用户和业界已经对大部分非法网站提高了警惕。而福布斯网站则广为人知,人们先入为主地信任它。但Menlo公司的研究表明,这种想法太想当然了。