香港互聯網註冊管理有限公司公布網站安全調查結果 近半網站使用預設設定存漏洞現隱憂 推新免費服務助提升網安水平 (Chinese only) | Hong Kong Internet Registration Corporation Limited
Press Release

香港互聯網註冊管理有限公司公布網站安全調查結果 近半網站使用預設設定存漏洞現隱憂 推新免費服務助提升網安水平 (Chinese only)

2025-03-28

香港互聯網註冊管理有限公司公布網站安全調查結果
近半網站使用預設設定存漏洞現隱憂 推新免費服務助提升網安水平

(香港,2025年3月27日)— 香港互聯網註冊管理有限公司(HKIRC)今天公布日前進行有關香港網站安全漏洞的調查,發現大部分網站使用預設設定,導致出現兩大主要漏洞,不僅使網站面臨攻擊風險,還可能導致數據洩露和呈現虛假内容,提醒管理者需加強安全措施以保護網站。

HKIRC一直關注香港互聯網社群的安全,致力提升用戶體驗,提供多元化的免費服務,包括過去為超過4萬個「.hk」網站進行檢測服務,旨在識別潛在的安全漏洞和風險,並提供具體的改善建議以提高整個網站安全;同時透過開放數據(open data),進一步分析用戶網站的整體表現。根據調查結果發現,大部份網站均使用預設設定,致使出現兩大主要漏洞,分別是「網站存在混合的加密及非加密內容」(HTTP over HTTPS)(47%)和「網站允許嵌入外部惡意內容」(Allow X-Frame-Options)(36%),這些安全漏洞可能導致網站性能下降或無法正常運行,影響用戶使用體驗。

常見漏洞一:47%網站存在混合的加密及非加密內容 (HTTP over HTTPS)
在是次公布的調查結果中,最常見的漏洞是「網站存在混合的加密及非加密內容(HTTP over HTTPS)」,有近一半經檢測的網站存在此問題(47%)。不少用戶在設置網站時,都會安裝SSL憑證等加密證書來加密網站提高網站安全性 (即具 HTTPS 安全證書的網站)。但若然在一個安全的HTTPS網站中,同時加載了來自不安全的HTTP來源的內容。這種情況會導致加密和未加密的內容混合,從而影響整體安全性。在個別情況下,一旦成為黑客的攻擊對象,便可能在資料傳輸過程中,篡改未加密鏈結成惡意連結,導致使用者的資料暴露給黑客 。
HKIRC 行政總裁黃家偉工程師在發布會上,分享了一個外國網站同樣有此漏洞的案例,指研究人員發現社交媒體軟件透過未加密的 HTTP 傳輸圖片和影片,讓攻擊者可以透過攔截伺服器的流量來確定使用者觀看了甚麼影片或影像,從而導致使用者的瀏覽行為暴露給潛在攻擊者。

常見漏洞二:36%網站允許嵌入外部惡意內容 (Allow X-Frame-Options)
另一個常見的漏洞則是「網站允許嵌入外部惡意內容(Allow X-Frame-Options)」,有超過3成半(36%)的網站被發現有此情況,網站容許攻擊者把惡意內容嵌入在其網頁上 ,繼而誘導用戶在不知情的情況下點擊惡意鏈結。黑客可能先建立偽冒網站,再將之嵌入真實網站,使用家受騙;或是直接導向惡意網站,騙取用戶輸入個人訊息。
在外國就曾有網上商店的付款網頁被植入外部表格,當用戶輸入資料時,信用卡等個人資料便被不法之徒盜取,造成資料外洩和金錢損失。

漏洞成因分析及建議改善方案
從調查的結果中歸納出4個造成漏洞的主要成因,包括:慣性使用預設設定、網站檢測不足、安全意識薄弱,還有風險評估範圍不足。而針對上述成因,HKIRC的網絡安全專業團隊就提出了4個相應的改善方案供參考,分別是:

  1. 增加安全知識:
    支援相關人員持續進修及培訓,有效為伺服器作適當安全設定,並識別和應付新型威脅;
  2. 進行全面網站檢測 :
    定期進行全面的網站檢測,確保現時的安全設定可堵塞最新的潛在漏洞;
  3. 提升安全意識:
    建議網站開發者或網站管理者透過不同途徑去了解最新的網絡安全消息或定期參與網絡安全演習
  4. 進行全面風險評估:
    定期評估以檢視機構的風險控制政策 和人員處理風險的能力

推出「網絡防禦一站通」服務 免費進行全面評估網站安全
為有效協助「.hk」用戶提升網絡防禦能力,HKIRC在現有的服務上推出免費的「網絡防禦一站通」服務。該服務為整合式安全服務,協助企業查找網站的漏洞,進行風險評估,繼而針對性就個別用戶提供適切的解決方案,以有效增強和改善防禦能力;向用戶推薦一系列免費資源,例如網上自學平台員工以進行培訓、安排進行釣魚演習,測試員工的反應和提高防範意識。

黃家偉總結時表示:「儘管及時堵塞網站漏洞能夠減低損失,但一旦對品牌的聲譽造成影響,要挽回顧客的信心就會非常困難。在此呼籲各位有意提高網絡安全水平的企業、機構登記申請『網絡防禦一站通』的服務,為香港共建安全的網絡環境。」

歡迎造訪HKIRC的網頁,了解更多有關「網絡防禦一站通」的資訊:

– 完 –

關於香港互聯網註冊管理有限公司
香港互聯網註冊管理有限公司 (HKIRC) 為香港特別行政區政府指定的非利潤分配、非法定擔保有限公司,專責從事香港地區頂級域名 (即 .hk及.香港) 的行政工作。
HKIRC 所提供的域名登記類別包括英文的.com.hk、.org.hk、.net.hk、.edu.hk、.idv.hk、.hk,及中文的.公司.香港、.組織.香港、.網絡.香港、.教育.香港、.政府.香港、.個人.香港、.香港,和將會在香港推出其他相關域名的服務。

傳媒聯絡
香港互聯網註冊管理有限公司
巿場推廣及傳訊部
電話: +852 2319 3835
電郵: marketing@hkirc.hk

香港互聯網註冊管理有限公司
網絡安全團隊
電話: +852 2319 3851
電郵: cybersec@hkirc.hk