2019年Q1季度漏洞观察报告.pdf

/QuarterlyVulnerabilityObservationReport季度漏洞观察报告季度漏洞观察报告gid00038 gid00010gid00038 gid00010有效识别网络安全漏洞风险，需要哪些信息辅助判断？硬件设备、自研系统、第三方软件，有待修补的漏洞每天都在出现，如果停留在头痛医头脚痛医脚的阶段，安全工作难免日趋复杂，却收效甚微。此时，乙方视角的漏洞研究信息，既可以帮助安全新人快速了解全行业普遍现状，补足背景信息；又可以为经验丰富的安全老手提供一个拔高审视角度、纵览全局的契机。本季度，长亭科技安全服务团队研究了金融、互联网、教育、医疗、电力等多个行业的漏洞案例，从高危漏洞分析、高频漏洞类型、安全修复建议等多个维度与您分享研究收获。基于团队深厚的安全服务与研究积累，漏洞选择上覆盖了那些利用链较长，综合利用难度较高的样本，更贴近漏洞造成的真实风险，而不是局限于“脚本小子”的破坏能力。此外，报告将对季度安全事件进行评论，也为您呈现网络安全世界的全球动态。前言 PREFACE01业务逻辑漏洞依旧在数量和普遍程度上处于Web漏洞中的第一位，越权漏洞 的数量虽不及前者多，但其在高危漏洞中占据了更大比重。0288.89%的企业/机构至少存在一个高危Web漏洞，这一数字在中危及以上漏洞维度为90.74%。03未使用SSL Pinning、不安全的ATS配置和应用截图保护漏洞是iOS客户端中的高频漏洞类型；Activity劫持、应用可以被备份、敏感内容输出到日志和Janus签名漏洞则是Android客户端中数量较多的隐患。04由于业务逻辑复杂、需保护的信息种类多，金融行业客户端更易出现敏感信息泄露类问题。本期报告发现：1.分类说明：本质上，越权漏洞也是业务逻辑漏洞中的一种，但由于其漏洞影响较为明确且出现频率较高，故本报告特别列出。1一季度全球Web攻击概览 031/1 Web攻击总数 041/2 高频攻击方法 041/3 目标地域分布 05一季度国家漏洞收录 062/1 漏洞危害评级 072/2 影响对象分布 072/3 漏洞类型分布 08一季度漏洞威胁分析 093/1 全行业Web漏洞 103/2 全行业客户端漏洞 133/3 金融行业聚焦 17一季度安全事件选评 194/1 攻击事件 204/2 产品漏洞 214/3 技术研究 224/4 安全改进 23CONTENTS01020304目录01Visualization ofWeb Attacks一季度全球Web攻击概览一季度全球Web攻击概览1/1 Web攻击总数2019年第一季度，全球范围内约发生12.43亿次Web攻击，日均1.38千万次。此外，单日攻击数量在1月23日达到季度最高点，约为5.34千万次；2月4日位于季度最低点，约为0.27千万次。在进行Web攻击时，SQL注入依然是最常被采用的手段，跨站脚本、远程文件包含分列二三位，但其数量与SQL注入有较大差距。数据来源：Akamai数据来源：Akamai图2 高频攻击方法分布图1 每日攻击数量与趋势季度漏洞观察报告Quarterly Vulnerability Observation Report04远程文件包含跨站脚本SQL注入命令注入PHP注入1094735862735090846332356375855794209097100000002000000030000000400000005000000001月1日 3月31日011/2 高频攻击方法季度漏洞观察报告Quarterly Vulnerability Observation Report05纵观全球，美国和俄罗斯是本季度遭受最多Web攻击的国家，指向其境内服务器的攻击总数分别达到了2.75亿次和2.06亿次，占全球总数的22.14%与16.58%，远高于其他国家与地区。而以我国境内服务器为目标的攻击数量约为0.38亿次，占全球总数的3.10%，频率位列第六。图3所列各国合计承受了Web攻击总量的55.15%。数据来源：Akamai图3 攻击目标全球分布44.85%美国俄罗斯伯利兹荷兰中国乌克兰德国其他国家1/3 目标地域分布22.14%3.09%3.10%3.24%3.37%3.64%16.58%02Overview of Vulnerabilities一季度国家漏洞收录一季度国家漏洞收录2019年第一季度，国家级漏洞库采集安全漏洞约三、四千个，基本与去年同期持平。具体，国 家信息安全漏洞库（ 以下简称CNNVD） 共采集3861个 ， 国家信息安全漏洞共享平台（ 以下简称 CNVD）共收集整理2966个 。CNNVD采集的新增漏洞中，超危漏洞占比7.05%，高危漏洞占比19.50%，中危漏洞占比51.33%，低危漏洞占比6.11%，暂未分类的漏洞占比16.01%；此外，合计2549个漏洞已有修复补丁发布，整体修复率达66.02%。CNVD收集整理的信息安全漏洞中，高危漏洞占比31.08%，中危漏洞占比59.51%，低危漏洞占比9.41%；上述漏洞中，可被利用实施远程网络攻击的漏洞共2666个，占漏洞总数的89.89%。季度漏洞观察报告Quarterly Vulnerability Observation Report07数据来源：CNVD漏洞信息月度通报图4 漏洞影响对象分布2.数据来源：此数据与后续相关数据均摘自CNNVD信息安全漏洞月通报。3.数据来源：此数据与后续相关数据均摘自CNVD漏洞信息月度通报。应用程序漏洞Web应用漏洞网络设备漏洞数据库漏洞安全产品漏洞操作系统漏洞2/1 漏洞危害评级2/2 影响对象分布CNVD统计的全部漏洞中，应用程序漏洞数量依旧最多，比例达57.12%；Web应用漏洞数量次之，占比23.16%；网络设备漏洞数量位列第三，占比9.10%。57.12%23.16%1.42%8.19%9.10%1.01%23季度漏洞观察报告Quarterly Vulnerability Observation Report08据CNNVD发布的类型统计，本季度新增跨站脚本类漏洞最多，比例约为11.81%；缓冲区错误类漏洞数量次之，占比9.58%；输入验证类漏洞数量位列第三，占比5.75%；其余漏洞类型占比均低于百分之五。图5中的漏洞类型总计占本季度新增漏洞总数的44.78%。数据来源：CNNVD信息安全漏洞月通报图5 漏洞类型分布32/3 漏洞类型分布跨站脚本缓冲区错误输入验证信息泄露权限许可和访问控制路径遍历SQL注入4563702221551349287跨站请求伪造 86命令注入 64访问控制错误 6303Facing Security Threats一季度漏洞威胁分析一季度漏洞威胁分析