2013年3月18日讯，近日，网站安全专家安全宝发布了《2012年网站安全统计报告》。报告指出，2012年度受国内用户热捧的开源程序频频爆出高危漏洞，电子商务网站成为重点攻击对象，大量网民信息遭受泄露威胁。在严峻的安全形势下，安全宝建议Web网站用户加强安全防护手段，避免被攻击者乘虚而入。

安全宝报告指出：自从Web2.0问世以来，Web产品逐渐走向开源化，然而，在低成本的背后却引发了越来越多针对这些开源程序进行的恶意攻击。因此，通过数据分析来深入揭示Web安全威胁的新特点，把握Web安全市场发展的新趋势就变得非常必要。安全宝作为国内第一家采用零部署的云计算技术一站式解决各种安全问题的高科技企业，通过使用指纹识别技术，可以精确的分析这些数据背后所展现的Web漏洞攻击趋势。

安全宝发现，Web漏洞在2012年呈现出以下三点特征：

一、遭受攻击最多的程序为dedecms

从受攻击网站类型分析，遭受攻击最多的程序为dedecms，其主要存在“dedecms search.php文件注入”与“dedecms ajax_membergroup注入”这两种漏洞，两者占总体攻击数量比例为24.78%，涉及网站比例则高达77.91%。

安全宝报告指： dedecms之所以成为黑客攻击的众矢之的，一方面是因为dedecms是知名的PHP网站管理系统之一，使用人数广泛，这吸引了众多网络攻击者的注意;另一方面，dedecms是一个开源系统，不但很多源码直接暴露在网络攻击者面前，而且其程序漏洞在众多网站中保持着相当高的一致性，这就大幅降低了网络攻击的难度。

二、SQL注入与XSS跨站脚本攻击占据半壁江山

在近两年，虽然SQL注入攻击有所减少，但是依然是Web程序的一个主要威胁。从数据中我们可以看出，在攻击方式中，SQL注入以36.5%的比例位居榜首。黑客通过SQL注入攻击，可以操控数据库、篡改数据，甚至进一步入侵服务器，危害较大。

其次是任意文件读取和跨站脚本攻击，任意文件读取是指黑客通过目录跳转，查看文件内容。跨站脚本攻击也叫XSS，黑客通过XSS攻击可以盗取用户账号信息，网站挂马操作等，XSS攻击在owasp top10中位居第二的位置也说明了其危害性不容小视。

三、电子商务网站安全性薄弱，成为攻击重点的对像

从2012年热点漏洞攻击次数TOP10统计数据来看，排名第一的“淘宝客7.4 huangou.php注入漏洞”以及排名第四的“shopxp TEXTBOX2.ASP注入”漏洞都针对的是电子商务中的商城程序。而从部分电商的漏洞分析数据中，我们也可以看出，高危、中危漏洞分布广泛，这凸显了电子商务网站所面临的安全困境。

安全宝报告指出，电子商务网站的安全之所以薄弱，是因为中小型电子商务网站参与者众多，既缺乏安全编程的开发经验，也缺少相关投入的资金支持。而且，电子商务网站普遍存在重内容轻安全建设与安全管理的问题，很多网站用通用模板进二次开发，存在很多已知漏洞和安全隐患。