长亭科技《季度漏洞观察报告》2019 Q1

作者:???深圳市网安计算机安全检测技术有限公司 2019/05/07 09:42:18 178次阅读 国际
文章来源:https://www.anquanke.com/post/id/177627

活动简介

? ? ? ?长亭科技安全服务团队2019年首期《季度漏洞观察报告》如期而至。本期报告纵观金融、互联网、教育、医疗、电力等多个行业的漏洞案例,从高危漏洞分析、高频漏洞类型、安全修复建议等多个维度与您分享研究收获。

? ? ? ?硬件设备、自研系统、第三方软件……新的漏洞每天都在出现。安全工作如果长时间停留在头痛医头脚痛医脚的状态,所面临的结果是日趋复杂却收效甚微。本期报告尝试跳脱出对某一漏洞的近距离观察,从全行业安全建设现状视角出发,跟踪实时漏洞动态,帮助从业人员形成发现潜在安全风险的全局策略思路。

? ? ? ?报告基于长亭安服团队深厚的安全服务与研究积累,漏洞选择上覆盖了那些利用链较长,综合利用难度较高的样本,更贴近漏洞造成的真实风险,而不是局限于“脚本小子”的破坏能力。此外,报告将对季度安全事件进行评论,也为您呈现网络安全世界的全球动态。

alt

alt

?

活动详情

报告简介:

全球Web攻击概览

2019年第一季度,全球范围内约发生12.43亿次Web攻击,日均1.38千万次。

? ? ? 在进行Web攻击时,SQL注入依然是最常被采用的手段,跨站脚本、远程文件包含分列二三位,但其数量与SQL注入有较大差距。

alt

国家漏洞收录

? ? ? ?本季度,国家信息安全漏洞库(CNNVD)共采集3861个新增漏洞,其中超危漏洞占比7.04%,高危漏洞占比19.50%,中危漏洞占比51.33%;国家信息安全漏洞共享平台(CNVD)收集整理漏洞2966个,其中高危漏洞占比31.09%,中危漏洞占比59.51%。

CNVD统计的全部漏洞中,应用程序漏洞数量最多,占季度总数的57.12%。

alt

据CNNVD发布的类型统计,本季度新增跨站脚本类漏洞最多,比例约为11.81%;缓冲区错误类漏洞数量次之,占比9.58%。

alt

企业Web端高危漏洞构成

在对金融、互联网、教育、医疗、电力等数个行业的研究过程中,长亭科技安全服务团队发现全行业范围内,越权漏洞与SQL注入漏洞在高危Web漏洞中占比最高,均超过20%。

alt

企业Web端高频漏洞类型

当前,业务逻辑漏洞依旧是出现频率最高的Web漏洞类型,占季度全部Web漏洞总数的20.99%;而越权漏洞虽然在本报告中被单独列出,但其本质上也属于业务逻辑漏洞的一种,因此合并统计,广义上的业务逻辑漏洞占比已超过季度Web漏洞总数的三分之一。

与去年全年数据对比,高频漏洞类型具有稳定性。

alt

企业客户端漏洞中高危漏洞构成

iOS系统的中高危漏洞中,不安全的ATS配置占据了最大比例,未使用SSL Pinning、Hybrid App代码保护不足、不正确的证书校验占比同样超过10%;而在Android系统的中高危漏洞中,代码可被重打包则成为了数量最多的问题类型,Activity劫持、应用可以被备份、Janus签名漏洞占比也较大。

此外,在众多高危漏洞中,长亭科技安全服务团队还发现了明文存储用户登录密码类漏洞,虽数量较少,但在安全意识普遍增强的当下,此类漏洞的出现显得过于低级。

alt

alt

企业客户端高频漏洞类型

全行业范围内,iOS客户端的高频漏洞类型包括未使用SSL Pinning、不安全的ATS配置和应用截图保护漏洞,分别占到了该系统全部漏洞总数的20.26%、18.6%和13.95%。

alt

Android客户端的高频漏洞类型是Activity劫持、应用可以被备份、敏感内容输出到日志和Janus签名漏洞,分别占到Android平台漏洞总数的22.23%、14.81%、12.96%和9.26%。

alt

? ? ? ?在客户端的高频漏洞中,不同类型漏洞造成的危害区别较大,Activity劫持漏洞、敏感信息输出到日志、应用可以被备份和应用截图保护漏洞均会造成敏感信息泄露。2018年第三期《季度漏洞观察报告》曾对敏感信息输出到日志有过详细介绍,在当前日志收集系统使用率极高的背景下,此类漏洞需要广大开发者重视。

? ? ? ?阅读更多内容,敬请下载本期《季度漏洞观察报告》全文。

? ? ? ?守护网络安全绝非一日之功,防患于未然更非易事,长期跟踪观察与多样信息获取必不可少。长亭科技希望通过系列报告的发布,持续传递信息,为企业安全建设提供参考。


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室