全球排名前万网站已经沦陷部件

根据安全公司Menlo Security的最新报告，全球最流行的前一百万个站中有三分之一存在漏洞，或者已经被黑客入侵。

举例而言，上个月黑客利用福布斯站（）进行了一次只持续了几天的快速水坑攻击。攻击利用了Adobe Flash的零日漏洞。Menlo公司的技术人员也关注了此次攻击，同时发现还有其它为数不少的站也被入侵，这些站向不知情的用户植入恶意软件。

为了进一步进行研究和分析，技术人员根据Alexa排名列表，研究了最流行的一百万个站。他们先是下载普通用户访问时会从站上下载的数据，包括HTML框架（iFrames）、嵌入内容（embeds）、小插件（widgets）和络广告（ad networks），也就是在访问站时下载到浏览器中的所有内容，然后将其和已知的恶意站进行比对并记录。

研究发现，有66%的站上没有检测到漏洞，但其余34%的站都存在“有风险”。而且，其中22%的站运行在有漏洞的系统上。比如，超过10%的站都运行在容易被入侵的PHP应用框架下。另外8%使用的是有同样有风险的站服务软件，一半是Apache，另一半则是IIS。

此外，2%的站使用有风险的CMS（内容管理系统），其中一半是Wordpress，另一半则是Drupal。

调查表明，寻找运行有隐患软件的站并不需要什么特别的技术，站的基础服务架构信息可以被任何发出请求的浏览器所获取。

除去这些容易被黑的站之外，还有4%的站已经被恶意软件入侵，另外4%则被用于制造垃圾邮件僵尸络。而这些几乎都是全世界最广受信任的站。

该项研究还调查了那些容易被入侵的站类型，在各种主流的站分类下，比如科技、商业、购物、娱乐、、旅游、金融、体育等，有漏洞的比例大体上徘徊在20%上下。

另外有些站类别的漏洞比例则远远高出这个量级，甚至可以达到80%，如非法下载站，到海南泡温泉享受“5洗”人生_胶东旅游频道可以想象它的安全状况有多么的糟糕。

但这些站与福布斯站有很大的不同，用户和业界已经对大部分非法站提高了警惕。而福布斯站则广为人知，人们先入为主地信任它。但Menlo公司的研究表明，这种想法太想当然了。

搜索“IT之家”关注抢6s大礼！下载IT之家客户端（戳这里）也可参与评论抽楼层大奖！