2018年Q3季度漏洞观察报告.pdf

季度漏洞观察报告2018/第三季度Quarterly Vulnerability Observation Report三季度全球Web攻击概览 021/1 Web攻击数量 031/2 高频攻击方法 031/3 攻击地域分布 04三季度国家漏洞收录 052/1 漏洞危害评级 062/2 影响对象分布 062/3 漏洞类型分布 07三季度漏洞威胁分析 083/1 Web安全漏洞概览 093/2 金融行业漏洞浅析 12三季度安全事件选评 144/1 产品漏洞 154/2 攻击事件 164/3 技术研究 174/4 安全改进 18CONTENT01020304目录三季度全球Web攻击概览Visualization of Web Attacks011/1 Web攻击数量2018年第三季度，全球范围内约发生8.78亿次Web攻击，日均攻击次数近千万，与上季度基本持平。此外，8月9日的单日攻击数量数最高，约为1.88千万次；9月1日的单日攻击数量处于最低点，约为0.61千万次。1/2 高频攻击方法在Web攻击中，SQL注入仍然是最常被采用的手段，其全球总数达到7亿级别，约占高频攻击方法总数的80.31%。跨站脚本、远程文件包含是另外两种出现较为频繁的攻击方法，分别占比10.40%与8.32%。数据来源：Akamai数据来源：Akamai图2 高频攻击方法分布图1 每日攻击数量与趋势季度漏洞观察报告Quarterly Vulnerability Observation Report03SQL注入跨站脚本远程文件包含PHP注入命令注入708435782917458937342104745726243955817140000001600000018000000200000001200000010000000800000060000004000000200000007月1日 9月30日季度漏洞观察报告Quarterly Vulnerability Observation Report041/3 攻击地域分布美国依然是受到最多Web攻击的地域，指向其境内服务器的攻击总数达2.84亿次，约占全球总数的32.32%；荷兰、法国、加拿大、印度、俄罗斯排名2至6位，以上六国所受攻击合计占季度总数的58.48%。此外，以我国境内服务器为目标的攻击数量有所减少，约为1.97千万次占全球总数的2.25%，低于上一季度的4.09%。数据来源：Akamai图3 攻击目标全球分布32.32%41.52%美国荷兰法国印度俄罗斯加拿大其他国家9.43%5.66%4.02%3.65%3.40%三季度国家漏洞收录Overview of Vulnerabilities022/1 漏洞危害评级2018年第三季度，国家级漏洞库采集安全漏洞约四千个。具体，国家信息安全漏洞库(以下简称CNNVD)共采集4290个 ，国家信息安全漏洞共享平台(以下简称 CNVD) 共收集整理3635个 。CNNVD采集的新增漏洞中，超危漏洞占比1.21%，高危漏洞占比5.57%，中危漏洞占比73.22%，低危漏洞占比20.00%；其中，合计2783个漏洞已有修复补丁发布，整体修复率64.87%。CNVD收集整理的信息安全漏洞中，高危漏洞占比32.44%，中危漏洞占比63.38%，低危漏洞占比4.18%；上述漏洞中，可被利用实施远程网络攻击的漏洞共3324个，占漏洞总数的91.44%。CNVD统计的全部漏洞中，应用程序漏洞数量最多，比例达58.77%；Web应用漏洞数量次之，占比19.95%；网络设备漏洞数量位列第三，占比11.69%。2/2 影响对象分布季度漏洞观察报告Quarterly Vulnerability Observation Report06数据来源：CNVD漏洞信息月度通报图4 漏洞影响对象分布及比例1.数据来源：此数据与后续相关数据均摘自CNNVD信息安全漏洞月通报。2.数据来源：此数据与后续相关数据均摘自CNVD漏洞信息月度通报。应用程序漏洞Web应用漏洞网络设备漏洞安全产品漏洞数据库漏洞操作系统漏洞19.95%1.75%6.84%11.69%58.77%1.00%12季度漏洞观察报告Quarterly Vulnerability Observation Report072/3 漏洞类型分布据CNNVD发布的类型统计，本季度数字错误类漏洞占比最大，约为11.33%，仅在7月份就新增468个，约占当月新增漏洞总数的23.35%；跨站脚本类和缓冲区错误类漏洞数量分列二三，占比依次为9.91%、8.86% 。134134数字错误跨站脚本缓冲区错误信息泄漏跨站请求伪造SQL注入权限许可和访问控制11.33%9.91%8.86%2.98%2.68%2.40%2.38%数据来源：CNNVD信息安全漏洞月通报图5 漏洞类型分布及比例3.类型划分依据CNNVD信息安全漏洞月通报直接摘录，与后文维度有所不同。3三季度漏洞威胁分析Facing Security Threats033/1 Web安全隐患概览季度漏洞观察报告Quarterly Vulnerability Observation Report09图7 Web漏洞危害评级高频漏洞类型业务逻辑漏洞是本季度最高频的Web漏洞类型，此外敏感信息泄露、越权漏洞、跨站脚本攻击（XSS）漏洞、运维不当导致的漏洞也较为常见，以上5类漏洞占季度全部Web漏洞数量的61.93%。漏洞危害评级依据行业通用评级标准，长亭科技安全服务团队本季度发现的全部Web漏洞中，高危漏洞占比36.45%，主要分布在弱口令、越权漏洞、业务逻辑漏洞、SQL注入漏洞、运维不当所致漏洞等多种类型。此外中危漏洞占比23.73%，低危漏洞占比39.82%。4.分类说明：本质上，越权漏洞也是业务逻辑漏洞中的一种，但由于其漏洞影响较为明确且出现频率较高，故特别列出。5.按照行业标准，漏洞危害评级由漏洞类型、影响程度、利用难度等多个因素决定。理解每个漏洞，乃至多个漏洞间的组合利用方式，往往可以将中低危漏洞升级为高危等级。图6 高频Web漏洞类型低危漏洞：39.82%高危漏洞：36.45%敏感信息泄露业务逻辑漏洞XSS漏洞越权漏洞运维不当弱口令SQL注入漏洞CSRF漏洞4中危漏洞：23.73%数据来源：长亭科技安全服务团队数据来源：长亭科技安全服务团队5