2017年 上半年 补天平台漏洞收录分析报告 2017年 8月 28日 摘 要 2017年上半年，补天平台SRC共收录各类网站安全漏洞10693个，共涉及8460个网 站。 补天平台共收录8460个网站，有93.0%的网站已经备案。其中，企业备案网站的数量 是最多的，占比为41.5%。 从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为2.7%，97.3%的网站 漏洞都为事件型漏洞。 从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为26.2%，中危漏洞占比为 39.0%，低危漏洞占比为34.8%。 从补天平台收录网站漏洞的具体类型来看，SQL注入漏洞最多，占比为29.5%，其次是 命令执行和弱口令，占比分别为26.6%和11.9%。 从省级地域分布来看，收录网站漏洞最多的十个省份占到了总量的74.0%。其中，IP地 址在北京的网站漏洞最多，占比为26.3%，其次广东省为10.2%，浙江省为6.5%。 从城市地域分布来看，收录网站漏洞最多的十个城市占到了总量的54.4%。其中，IP地 址在北京市的网站漏洞最多，占比为26.3%，其次上海市为6.3%，杭州市为4.5%。 在补天平台收录网站漏洞中，76.7%的网站漏洞已经进行了修复，23.3%的网站漏洞未进 行修复。 2017年上半年，共有2781名白帽子向补天平台提交13356个有效漏洞，总计获得奖金 247.9万元。 从报给补天平台并被收录的漏洞总数来看，挖洞最多和获得奖金最多的都是cary_your， 共贡献363个漏洞，堪称“挖洞”劳模。 向补天平台提交漏洞的白帽子中，女性白帽子占比仅为5.8%，相比2016年10.2%的女 性白帽子在补天平台提交漏洞，有一定的下降趋势。男性白帽子占比为94.2%。 根据白帽子的注册信息统计，在2017年上半年向补天平台提交漏洞的白帽子中，年龄 最小的14岁，年龄最大的67岁。其中，18岁-28岁之间的白帽子数量最多，约占总数 的79.9%。 从年龄段来看，延续了2016年的趋势，年轻的“90后”目前仍然是白帽子的绝对主力， 占白帽子总量的75.2%，“80后”次之，占10.8%，00后正在崛起，占比为9.1%。 关键词： 补天平台、漏洞挖掘、白帽子 2 目 录 第一章 漏洞数量与备案情况 . 1 一、 漏洞报告数量 . 1 二、 网站备案情况 . 2 第二章 漏洞性质与类型分布 . 3 一、 网站漏洞性质 . 3 二、 网站漏洞等级 . 4 三、 网站漏洞类型 . 4 四、 网站漏洞修复 . 5 第三章 漏洞网站地域分布 . 6 第四章 白帽子与漏洞奖励 . 7 一、 白帽子获奖情况 . 7 二、 白帽子性别分布 . 7 三、 白帽子年龄分析 . 8 四、 人才培养与输出 . 9 附录 补天平台及补天白帽大会介绍 . 11 1 第一章 漏洞 数量与 备案情况 本章从人工挖掘角度，对网站漏洞情况进行分析。主要根据补天平台公开征集收录白帽 子提交的漏洞信息，结合平台自身对漏洞的研究积累，从而分析2017年上半年存在漏洞， 且被白帽子关注的全国数万个网站的安全状况。 一、 漏洞报告数量 2017年上半年，补天平台SRC共收录各类网站安全漏洞10693个，共涉及8460个网 站。其中，3月份收录的网站漏洞数量最多，为3032个。 2 二、 网站备案情况 根据工信部相关规定，网站域名需在主管部门备案。一般网站正常备案的类型为：政府 机关、军队、事业单位、社会团体、企业、个人、基金会、律师事务所等类型。 补天平台共收录8460个网站（共涉及漏洞总量为10693个），有93.0%的网站已经备 案。其中，企业备案网站的数量是最多的，占比为41.5%，事业单位备案网站为25.5%，政 府机关备案网站为19.4%。 在这8460个网站中，仍有7.0%的网站未取得工信部的ICP/IP备案或备案已过期。此 外，在已取得正式备案的网站中还有4.4%网站使用的是个人备案。 3 第二章 漏洞 性质 与类型分布 本章主要从漏洞性质、等级和类型分布来分析不同行业的网站安全状况。在本报告中 漏洞性质主要是指通用型漏洞和事件型漏洞；漏洞等级主要是指高危、中危和低危；漏洞 类型主要是指SQL注入、命令执行、弱口令、信息泄露、代码执行等。 一、 网站漏洞 性质 2017年上半年，从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为 2.7%，97.3%的网站漏洞都为事件型漏洞。 鉴于多数通用型漏洞属于可以检测的已知漏洞，而事件型漏洞则存在一定的偶发性和 不可预测性。但从另一个角度来看，网站存在大量的事件型漏洞，这也就意味着：仅仅通 过一般的、通用的安全检测手段并不足以及时的发现网站潜在的安全问题。第三方平台对 网站漏洞的收集和报告，对于正规的网站来说尤为重要。 4 二、 网站 漏洞等级 2017年上半年，从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为26.2%， 中危漏洞占比为39.0%，低危漏洞占比为34.8%。下图给出了补天平台收录的网站漏洞的 危险等级情况。 三、 网站 漏洞类型 2017年上半年，从补天平台收录网站漏洞的具体类型来看，SQL注入漏洞最多，占比 为29.5%，其次是命令执行和弱口令，占比分别为26.6%和11.9%。占比较高的还有信息泄 露（11.8%）、代码执行（5.3%），具体漏洞类型分布请见下图。 5 四、 网站漏洞 修复 补天平台会不定期进行人工复核，以了解漏洞的修复情况，一般采取抽样人工验证的方 式。补天平台看到的漏洞修复情况，和抽样调查的结果略有不同。由于部分网站的安全负责 人在修复网站漏洞后未及时在补天平台上进行登记，所以，补天平台上站长标记的修复情况 会与上述统计有一定的出入。 2017年上半年，在补天平台收录网站漏洞中，76.7%的网站漏洞已经进行了修复， 23.3%的网站漏洞未进行修复。 6 第三章 漏洞网站地域 分布 本报告中地域划分主要根据网站的IP地址查询其网站服务器归属地，可能与实际主管 机构的行政归属地存在一定的差异。 2017年上半年，从省级地域分布来看，补天平台收录网站漏洞最多的十个省份占到了 总量的74.0%。其中，IP地址在北京的网站漏洞最多，占比为26.3%，其次广东省为 10.2%，浙江省为6.5%。具体如下图所示。 2017年上半年，从城市地域分布来看，补天平台收录网站漏洞最多的十个城市占到了 总量的54.4%。其中，IP地址在北京市的网站漏洞最多，占比为26.3%，其次上海市为 6.3%，杭州市为4.5%。具体如下图所示。 7 第四章 白帽子与漏洞奖励 本章主要针对2017年上半年在补天平台提交过漏洞的白帽子的获奖情况、性别、和年 龄进行分析。 一、 白帽子获奖情况 2017年上半年，共有2781名白帽子向补天平台提交有效漏洞13356个（其中公益 SRC收录10771个，私有SRC收录2585个），总计获得奖金247.9万元。 上半年获补天平台奖金最多的三位白帽子分别是cary_your、lakes和jkgh006。从报给 补天平台并被收录的漏洞总数来看，挖洞最多和获得奖金最多的都是cary_your，共贡献 363个漏洞，大约每天挖洞2个，堪称“挖洞”劳模。 获奖金最多的白帽子Top10排名，以及挖洞情况具体见下表。 名次 名 挖漏洞个数 获奖额（元） 冠军 cary_your 363 292620 亚军 lakes 109 226464 季军 jkgh006 98 165540 第4名 depy 80 156132 第5名 system_gov 90 95820 第6名 飞扬风 62 84060 第7名 xcold 39 79440 第8名 holoboy 28 72360 第9名 少司命 24 71892 第10名 del 44 66252 表 1 2017年上半年补天平台获奖金最多白帽子Top10 二、 白帽子性别分布 白帽子的世界，一向被认为是男人的世界，而白帽子当中的女生更是凤毛麟角。2017 上半年，向补天平台提交漏洞的白帽子中，女性白帽子占比仅为5.8%，相比2016年 10.2%的女性白帽子在补天平台提交漏洞，有一定的下降趋势，可见女性白帽子依然是稀 缺资源。男性白帽子占比为94.2%。 8 三、 白帽子年龄 分析 根据白帽子的注册信息统计，在2017年上半年向补天平台提交漏洞的白帽子中，年龄 最小的14岁，年龄最大的67岁。其中，18岁-28岁之间的白帽子数量最多，约占总数的 79.9%。下图给出了向补天平台提交漏洞白帽子的年龄分布。 而从年龄段来看，延续了2016年的趋势，年轻的“90后”目前仍然是白帽子的绝对 主力，占白帽子总量的75.2%，“80后”次之，占10.8%，00后正在崛起，占比为9.1%。 值得注意的是，相比2016年“00后”白帽子仅占2.6%，今年约有9.1%的白帽子是 17岁及以下的青少年，比例和数量都大为提高。由此可见，网信事业特别是互联网安全事 业对新生一代（青少年学生）还是非常有吸引力的。 9 四、 人才培养与输出 2017年5月，补天平台开展校园安全活动，在全国7座城市和15所信息安全相关的高 校全面展开。将安全理念、网络安全、法律知识送到全国各地的高校，给学生们带来了行业 最前沿的知识，开拓了学生的视野，提供了相互交流学习的平台，为积极投身网络安全建设 做储备。 2017年5月11日，补天平台校园安全活动在北京、天津、成都、重庆、青岛和太原7 座城市，在北京邮电大学、电子科技大学、四川大学、重庆邮电大学、青岛大学等15所信 10 息安全相关的高校全面展开。 时间 地点 地点 2017-5-11 北京 北京航空航天大学 2017-5-16 天津 天津大学 2017-5-18 成都 成都信息工程大学 2017-5-18 北京 北京邮电大学-第一场 2017-5-19 成都 四川大学 2017-5-19 成都 电子科技大学 2017-5-20 成都 富力丽思卡尔顿酒店二层水晶厅 2017-5-21 山西太原 山西省太原市希望大厦 2017-5-21 重庆 重庆邮电大学 2017-5-22 重庆 重庆大学 2017-5-22 山东青岛 青岛大学 2017-5-23 北京 北京信息科技大学 2017-5-23 山东青岛 青岛科技大学 2017-5-25 北京 北京邮电大学-第二场 2017-6-3 北京 北京邮电大学-defcon010场 2017-6-7 江西南昌 江西理工大学 2017-6-7 江西南昌 江西警察学院 2017-6-8 江西南昌 江西财经大学 2017-6-8 江西南昌 江西科技师范大学 表 2补天平台校园行活动 其中，北京邮电大学校园安全月还通过讲师进校，学生到公司参观学习的互动形式持续 展开，不断为热爱信息安全的同学提供学习机会。 补天平台秉持着“公益、开放、协同”的理念，为切实加强信息安全专业人才的培养起 到积极推动的作用，让其了解更多的攻防的神秘世界，投身于保卫网络安全的事业。 11 附录 补天平台及补天白帽大会介绍 “补天平台”，成立于2013年3月，全称为“补天漏洞响应平台”。平台旨在收集散落 在民间的安全漏洞，及时推送给企业提醒修复，避免漏洞被不法分子利用。平台在企业与白 帽子之间架起了桥梁，通过正向引导和培养民间的白帽力量，实现实时的、高效的漏洞报告 与响应，守护企业网络安全，积极推动互联网安全行业的发展。 补天平台面向全社会收集漏洞并免费通知企业修复的模式叫公益SRC模式，又叫公益 SRC，平台用正义感引导白帽子报告漏洞，收到漏洞后及时推送企业修复。 2014年，“补天平台”在公益SRC基础上，又逐渐形成专属SRC模式。在专属SRC模 式下，企业一般预充值作为奖金，直接奖励到白帽子，平台仅作为资金托管方，并不收取任 何费用。专属SRC有效帮助未具备能力的企业快速建立了自己的漏洞响应中心。 2016年4月补天平台正式推出众测服务。一方面，参与众测的白帽子均完成严格的身 份认证并签署保密协议，通过VPN安全接入测试，平台全程管控白帽子操作行为，保证测 试过程安全可控；另一方面，检测结束，平台提供专业详实的修复方案，协助企业及时修补 漏洞，排除隐患。 2017年3月，作为中国最大的漏洞检测与响应平台，“补天平台”发起并主办“补天白 帽大会”。此次大会，吸引国内外多家知名企业SRC（Security Response Center）联合支持举 办，是首个面向全球白帽和技术精英开放的、专注于漏洞响应和防护的全球性安全行业大会。 大会秉承开放、协同的基本原则，广泛邀请国内外知名白帽、技术精英、安全爱好者， 与网络安全相关主管机构和知名企业和机构的CISO共同参与，共同解读当前网络安全形势 和安全威胁，探讨漏洞响应与防范方案，同时分享交流漏洞挖掘与安全攻防等前沿议题。 补天平台以协同保护全社会网络安全为使命，致力于为全社会提供网络漏洞检测与响 应服务，通过补天白帽大会努力为不断成长的安全爱好者提供充满正能量的安全交流平台， 帮助企业和机构建设安全可靠的网络环境！