香港互联网注册管理有限公司公布网站安全调查结果 近半网站使用预设设定存漏洞现隐忧 推新免费服务助提升网安水平 | Hong Kong Internet Registration Corporation Limited
新闻发佈

香港互联网注册管理有限公司公布网站安全调查结果 近半网站使用预设设定存漏洞现隐忧 推新免费服务助提升网安水平

2025-03-28

香港互联网注册管理有限公司公布网站安全调查结果

近半网站使用预设设定存漏洞现隐忧 推新免费服务助提升网安水平

(香港,2025年3月27日)— 香港互联网注册管理有限公司(HKIRC)今天公布日前进行有关香港网站安全漏洞的调查,发现大部分网站使用预设设定,导致出现两大主要漏洞,不仅使网站面临攻击风险,还可能导致数据泄露和呈现虚假内容,提醒管理者需加强安全措施以保护网站。

HKIRC一直关注香港互联网社群的安全,致力提升用户体验,提供多元化的免费服务,包括过去为超过4万个「.hk」网站进行检测服务,旨在识别潜在的安全漏洞和风险,并提供具体的改善建议以提高整个网站安全;同时透过开放数据(open data),进一步分析用户网站的整体表现。根据调查结果发现,大部份网站均使用预设设定,致使出现两大主要漏洞,分别是「网站存在混合的加密及非加密内容」(HTTP over HTTPS)(47%)和「网站允许嵌入外部恶意内容」(Allow X-Frame-Options)(36%),这些安全漏洞可能导致网站性能下降或无法正常运行,影响用户使用体验。

常见漏洞一:47%网站存在混合的加密及非加密内容 (HTTP over HTTPS)
在是次公布的调查结果中,最常见的漏洞是「网站存在混合的加密及非加密内容(HTTP over HTTPS)」,有近一半经检测的网站存在此问题(47%)。不少用户在设置网站时,都会安装SSL凭证等加密证书来加密网站提高网站安全性 (即具 HTTPS 安全证书的网站)。但若然在一个安全的HTTPS网站中,同时加载了来自不安全的HTTP来源的内容。这种情况会导致加密和未加密的内容混合,从而影响整体安全性。在个别情况下,一旦成为黑客的攻击对象,便可能在资料传输过程中,篡改未加密链结成恶意连结,导致使用者的资料暴露给黑客 。

HKIRC 行政总裁黄家伟工程师在发布会上,分享了一个外国网站同样有此漏洞的案例,指研究人员发现社交媒体软件透过未加密的 HTTP 传输图片和影片,让攻击者可以透过拦截伺服器的流量来确定使用者观看了什么影片或影像,从而导致使用者的浏览行为暴露给潜在攻击者。

常见漏洞二:36%网站允许嵌入外部恶意内容 (Allow X-Frame-Options)
另一个常见的漏洞则是「网站允许嵌入外部恶意内容(Allow X-Frame-Options)」,有超过3成半(36%)的网站被发现有此情况,网站容许攻击者把恶意内容嵌入在其网页上 ,继而诱导用户在不知情的情况下点击恶意链结。黑客可能先建立伪冒网站,再将之嵌入真实网站,使用家受骗;或是直接导向恶意网站,骗取用户输入个人讯息。
在外国就曾有网上商店的付款网页被植入外部表格,当用户输入资料时,信用卡等个人资料便被不法之徒盗取,造成资料外泄和金钱损失。

漏洞成因分析及建议改善方案
从调查的结果中归纳出4个造成漏洞的主要成因,包括:惯性使用预设设定、网站检测不足、安全意识薄弱,还有风险评估范围不足。而针对上述成因,HKIRC的网络安全专业团队就提出了4个相应的改善方案供参考,分别是:

  1. 增加安全知识:
    支援相关人员持续进修及培训,有效为伺服器作适当安全设定,并识别和应付新型威胁;
  2. 进行全面网站检测 :
    定期进行全面的网站检测,确保现时的安全设定可堵塞最新的潜在漏洞;
  3. 提升安全意识:
    建议网站开发者或网站管理者透过不同途径去了解最新的网络安全消息或定期参与网络安全演习
  4. 进行全面风险评估:
    定期评估以检视机构的风险控制政策 和人员处理风险的能力

推出「网络防御一站通」服务 免费进行全面评估网站安全
为有效协助「.hk」用户提升网络防御能力,HKIRC在现有的服务上推出免费的「网络防御一站通」服务。该服务为整合式安全服务,协助企业查找网站的漏洞,进行风险评估,继而针对性就个别用户提供适切的解决方案,以有效增强和改善防御能力;向用户推荐一系列免费资源,例如网上自学平台员工以进行培训、安排进行钓鱼演习,测试员工的反应和提高防范意识。

黄家伟总结时表示:「尽管及时堵塞网站漏洞能够减低损失,但一旦对品牌的声誉造成影响,要挽回顾客的信心就会非常困难。在此呼吁各位有意提高网络安全水平的企业、机构登记申请『网络防御一站通』的服务,为香港共建安全的网络环境。」

欢迎造访HKIRC的网页,了解更多有关「网络防御一站通」的资讯:

– 完 –

关于香港互联网注册管理有限公司
香港互联网注册管理有限公司 (HKIRC) 为香港特别行政区政府指定的非利润分配、非法定担保有限公司,专责从事香港地区顶级域名 (即 .hk及.香港) 的行政工作。
HKIRC 所提供的域名登记类别包括英文的.com.hk、.org.hk、.net.hk、.edu.hk、.idv.hk、.hk,及中文的.公司.香港、.组织.香港、.网络.香港、.教育.香港、.政府.香港、.个人.香港、.香港,和将会在香港推出其他相关域名的服务。

传媒联络
香港互联网注册管理有限公司
巿场推广及传讯部
电话: +852 2319 3835
电邮: marketing@hkirc.hk

香港互联网注册管理有限公司
网络安全团队
电话: +852 2319 3851
电邮: cybersec@hkirc.hk