(电子商务研究中心讯)　　报告摘要

　　从异军突起到千团大战，团购行业在国内仅仅用了一年多时间。作为如今最火热的互联网应用之一，团购网站在高速发展的同时，也暴露出许多网站安全问题：

　　团购网站技术门槛低、商业模式清晰，大量中小规模企业和个人进入团购市场，网站安全维护能力参差不齐，大批团购网站存在高危漏洞；

　　团购业务与用户消费密切相关，一旦有漏洞被黑客利用，可能出现商品价格等信息被篡改、用户数据库泄露、用户消费凭据和账户余额失窃，以及网站被黑客利用组织钓鱼欺诈活动等多重危害，使商家和消费者蒙受经济损失；

　　团购网站安全问题已开始显现，例如：

　　某知名团购网站的市场活动遭黑客攻击而被迫喊停，不仅赔了数百万元，声誉也受到影响；

　　微博传言某团购网站被黑客利用SQL注入漏洞刷库(窃取数据库)，导致大量用户名和密码泄露，而团购用户一般使用常用邮箱和密码注册，很可能和网上支付等重要账户使用同一套用户名和密码；

　　此外，有技术人员发现某团购网站“砸金蛋”活动存在漏洞，写段JS脚本自动砸了2000多个“金蛋”，所幸该技术人员通知团购网站修复了漏洞。

　　修复漏洞、强化网站安全机制，无疑是团购网站正常运营的保障。近期，360网站安全检测平台在289家团购网站授权下，对这些网站进行了安全检测，结果表明：

　　70.6%的团购网站存在高危漏洞，可被黑客轻易攻击利用；存在严重级别漏洞和警告级别漏洞团购网站比例分别为54.7%和66.4%，而完全没有明显漏洞的团购网站比例仅为5.5%；

　　高危漏洞中，跨站脚本漏洞、团购程序漏洞，以及SQL注入漏洞是出现频率最高的三类漏洞，存在上述漏洞的团购网站比例分别为61.3%、41.5%和19.4%，大量网站同时存在多种不同类型的高危漏洞。

　　知名大型团购网站的安全状况相对较好，出现高危漏洞的网站比例为25.0%，出现严重漏洞的网站比例为12.5%(知名大型团购网站，指艾瑞数据统计中月度活跃用户量超过500万的团购网站)；

　　部分中小型团购网站欠缺安全意识和专业维护能力。以漏洞种类计算，个别网站存在9种不同类型的漏洞；以漏洞数量计算，个别网站存在39个漏洞；

　　在360网站安全检测平台和360团购导航的协助下，大多数团购网站可快速自主修复漏洞，提高网站防护能力。目前，经过360检测的团购网站已陆续对漏洞进行了修复处理。

　　360网站安全检测平台认为：团购网站作为重要的电子商务载体，哪怕只是一点安全问题的细微疏忽，也可能出现难以挽回的业务和用户财产损失。然而从此次检测结果判断，大多国内团购网站的安全性并无法满足用户放心消费、网站安全经营的需要。

　　为此，360将在本次《2011年中国团购网站安全报告》中，对团购网站普遍存在的漏洞风险进行统计和分析，并提供解决方案，希望能够引导团购网站加强安全意识，在网站安全管理方面做到防患于未然。 （编选：中国电子商务研究中心）