2022年中小企业网站安全防护统计调研报告

以便把握某地大、中、小、微企业官网的网络信息安全状况,人们机构工作人员对某地企业官网信息内容开展搜集归纳并开展调查问卷报告。此次调研关键对于网址暗链、比较敏感字、是不是选用开源系统cms源码、是不是布署WAF等安全防护机器设备、对外开放端口号等內容,进而全方位的掌握企业官网的安全防护现况。某省中小企业共为240万家和,而某市工商局备案的某地公司共为32万,人们从工商局得知备案了企业官网的公司现有34000家上下,因为信息量很大,人们从这当中任意抽选了3000家网址做为此次调研目标。

1.2比较敏感字监测結果

人们应用网站安全性检测服务平台,对3000个网站开展了关键网页页面抓取,并对在其中的比较敏感字和暗链开展监测。监测数据信息以下:

一些网站被改动了首页,如:

一些网站被立即嵌入了暗链,如:

对监测結果开展归纳,状况以下:

监测项 伪造主页 嵌入暗链 包括比较敏感字

网站总数 120 260 430

总体登记表图以下:

1.3WAF布署状况

现阶段网址前端开发安全防护对策中,各种各样WAF机器设备是覆盖率较为高并且安全防护实际效果相对来说好的,而WAF又包含了云WAF(云盾、创宇盾等)、硬WAF(安恒WAF、深信服WAF机器设备等)、软WAF(安全狗、modsecurity等)。

人们应用独立产品研发的WafDetect专用工具和开源系统的wafw00f结合在一起,对工作目标网站开展成批监测,检测是不是应用WAF等安全防护机器设备。

历经检测,3000个网站WAF布署状况以下。

在其中状况不明一些是因为网页访问请求超时或无法打开的結果。

而布署了WAF的523个网站应用的WAF种类遍布以下。

归纳后的WAF布署状况归纳以下表。

表明绝大多数公司以便降低成本,在网站安全防护中仅仅资金投入了偏少的资产或未资金投入资产,即使是布署了WAF安全防护都是大多数应用了云WAF或软WAF。

1.4开源系统cms源码应用状况

开源系统cms源码尽管具备迅速布署、插口丰富多彩、功能齐全等优势,但也存有如果暴发通用性系统漏洞会立即危害全部应用该cms源码的网址,加上企业官网一般不容易立即更新,造成许多应用了开源系统cms源码的网址都多多少少存有系统漏洞。

经统计分析,发觉近2/3的网址应用了通用性的cms源码建立网站架构,一些开展了再次开发或作用订制,但关键控制模块仍为通用性cms源码,如果出現通用性的cms源码漏洞网站比较容易遭受侵害。

1.5对外开放端口号状况统计分析

人们应用端口扫描工具对端口号对外开放状况开展了统计分析,进而掌握网址对外开放服务项目状况、网址系统架构图、易受侵害水平等。

历经监测,发觉绝大多数网址对外开放了1-4个端口号,小一些网址对外开放端口号较多。一些监测数据信息以下:

历经监测,3000个网站端口号对外开放状况以下

1.6调研依据

1、企业官网的內容升级相对性比较慢,在监测中人们发觉一些网址被伪造网页页面或嵌入暗链长达几个月的历程,但网址隶属公司并沒有对网址开展修补,表明公司都不知道网址被侵入或是并不愿修补。

2、公司网站防护对策对比政府部门金融业等网址十分基础薄弱,只能非常少一些的中知名企业才会项目投资硬件环境开展安全防范,别的选用云安全防护或软WAF安全防护的公司相对性总数也偏少,表明公司对网址本身的安全性高度重视水平还不足。

3、近2/3的企业官网应用了通用性的cms源码建立网站架构,一些开展了再次开发或作用订制,但关键控制模块仍为通用性cms源码,如果出現通用性的cms源码漏洞网站比较容易遭受侵害。而通用性cms源码确实能大大的节约网址的项目成本,这也表明公司在企业网站建设层面的项目投资還是比较比较有限。

4、从端口号对外开放状况看来,绝大多数网址对外开放了3389和22端口号开展远程控制维护保养。另外也间接性表明windows网络服务器总数和liunx类网络服务器的总数比大概为2:1,而windows网络服务器仍有很大一些对外开放了139和445等端口号,而近些年暴发的windows高风险外溢系统漏洞许多全是根据这2个端口号开展散播

分享: