Seebug漏洞平台2016年度报告
一、概述 Seebug 原名Sebug,最初于 2006 年上线,作为国内最早、最权威的漏洞库为广大用户提供了一个漏洞参考、分享与学习平台。 Seebug以打造良好的漏洞生态圈为己任,经过十余年不断的完善与更新现已成长为国内知名安全厂商知道创宇旗下一个成熟、独具特色的漏洞社区。 2015 年,Seebug在国际上首次提出“漏洞灵魂”概念,将每个漏洞视为鲜活的个体而非一段冷冰冰的介绍或代码,每次发现、披露、验证与利用均构成漏洞生命周期的重要节点,共同形成一个不断迭代的过程,为后续研究提供严谨、规范、有价值的参考。 此外,为了尊重白帽子的劳动成果、最大程度发挥社区优势,Seebug还在第四届KCon黑客大会上推出百万奖励计划,使漏洞交易变得公开、透明。 2016 年,Seebug国际版正式上线,携手ZoomEye、Pocsuite共同亮相举世瞩目的黑帽大会,在国际舞台上一展风采。 二、漏洞详情等信息以及漏洞验证程序(PoC)收录状况 Seebug统计结果显示,截至 2016 年 12 月 31 日,Seebug共收录漏洞 51909 个(日常维护漏洞数量),其中 2016 年新增漏洞 2350 个,占漏洞总数4.5%。收录PoC数量 44074 个,其中 2016 年新增 1920 个,占PoC总数的4.4%。从漏洞危险等级来看, 2016 年新增高危漏洞 419 个,中危漏洞 1748 个,低危漏洞 183 个。从漏洞类型来看, 2016 年SQL注入类漏洞所占比例高达46%。 2.1 漏洞验证程序(PoC)数量统计分析 Seebug统计结果显示,共收录PoC数量 44074 个。 2016 年新增 1920 个,占PoC总数的4.4%。由下图可见,上半年增长速度较快。 PoC总量月度统计图 2.2 收录漏洞的危害等级分布统计分析 Seebug根据漏洞的利用复杂程度、影响范围等将危害分为三个等级,即高危、中危、低危。 2016 年新增漏洞危害等级分布如图所示,其中高危漏洞 419 个(占18%),中危漏洞 1748 个(占74%), 低危漏洞 183 个(占8%)。高危漏洞中有我们熟知的DirtyCOW漏洞(CVE-2016-5195)、OpenSSH远程代码执行漏洞(CVE-2016-10010)、Nginx权限提升(CVE-2016-1247)、win32k权限提升漏洞(CVE-2016-7255)等,多数为各大主流操作系统漏洞。 2016 年 Seebug 新增漏洞风险等级分布统计图 2016 年Seebug月度漏洞增长统计图 2.3 收录漏洞的类型分布统计分析 2016 年Seebug新增漏洞类型统计结果显示,SQL注入漏洞最多,达 1070 个,占 2016 年新增漏洞的46%。大多数网站中常见SQL注入漏洞,这是由于网站对用户Web表单输入或请求内容过滤不充分造成的。攻击者通过SQL注入很容易造成网站数据库的信息泄露。位居第三位的跨站脚本攻击也同样是对Web表单或页面请求过滤不充分造成的,攻击者利用存在反射性XSS的网站可以构造恶意链接引诱用户点击,从而获取到用户的登录cookie。利用存在存储型XSS的网站(如留言板),通过留言板留言将恶意代码存储在服务器,当有用户点击嵌入恶意代码的页面也会被盗取cookie。如今大部分浏览器如Chrome、Safari、Firefox等都有对CSP的支持、有XSS-Audtior防护,从而使跨站脚本攻击的漏洞数量逐渐减少很多,但这些防护并不能彻底防范跨站脚本攻击。 2016 年Seeebug收录漏洞类型TOP10 从上表中还可以看出弱密码和信息泄露漏洞也十分常见,通过后台统计发现,大部分是路由器、摄像头、工控设备的漏洞。随着科技的发展,智能设备的使用也越来越广泛,如何保证物联网安全越来越被安全研究人员所重视。 2.4 漏洞组件分布统计分析 Seebug收录了可能受影响的组件 3946 个,通过对 2016 年Seebug新增漏洞受影响组件进行统计发现,WordPress组件漏洞数量最多,共 133 个,占新增漏洞的5.7%。另外可以从下图看出,Top10 组件全部为信息管理系统,可见像WordPress、Joomla这些管理系统依然是全球广大白帽子关注的重点Web应用。 受漏洞影响的Top 10 组件统计图 三、 2016 年重大漏洞记录 3.1 Struts 2 远程代码执行漏洞(S2-032) 漏洞简介 Struts2 是世界上最流行的Java Web服务器框架之一, 2016 年Seebug共收录Struts 2 组件漏洞 8 个,其中严重的有 2016 年 4 月爆出的Struts2 远程代码执行漏洞(S2-032),之后又曝出的(S2-033)、(S2-037)漏洞也都由于构造特殊的Payload绕过过滤触发OGNL表达式,从而造成任意代码执行。 漏洞影响 Apache Struts 2.3.18 ~ 2.3.28 版本(除2.3.20.2 与 2.3.24.2 版本外),在开启动态方法调用的情况下,构造特殊的Payload绕过过滤触发OGNL表达式,造成远程代码执行。 3.2 Dirty COW Linux内核漏洞 漏洞简介 (编辑:ASP站长网) |