22、大规模网站安全分析：挑战与发现

大规模网站安全分析：挑战与发现

在当今数字化时代，网站安全至关重要。攻击者试图利用用户的敏感数据和资源获利，网站运营商则需采取多种安全机制来抵御各类漏洞。以下是对大量网站安全状况的详细分析。

1. 安全评分计算

在评估网站安全性时，采用了特定的评分系统。对于一个易受攻击的网站，“攻击面”组的评分为 1，“环境”组的评分为 0.75，该评分的主要影响因素是业务影响，且因网站类型而异。例如，任意 JavaScript 代码的执行对安全敏感型网站（如银行网站）影响极大，但对不存储敏感数据的纯信息网站影响则小得多。网站的总评分通过三个子评分相乘得出，如 90 * 1 * 0.75 = 67.50。

2. 总体发现

• 安全功能启用情况 ：在分析的 22,851 个网站中，有 10,539 个（46.12%）至少启用了一项安全功能。最受欢迎的防御机制是 Cookie 中的 HttpOnly 属性，出现在 33.51%的评估网站中；其次是表单中 CSRF 令牌的存在，占比 16.70%。这两种流行的安全功能可缓解 OWASP Top 10 项目中最关键的 Web 应用程序漏洞。而且，一般来说，防御机制的普及程度与流行浏览器采用它的时间有关，越古老的安全功能使用越广泛。
• 漏洞与弱点情况 ：12,885 个（56.39%）网站至少存在一个漏洞或弱点。具体漏洞分布如下表所示：
  | 漏洞类型 | 受影响网站数量 | 占比 |
  | — | — | — |
  | 过时的服务器软件 | 6,412 | 28.06% |
  | 混合内容包含