Seebug漏洞平台2016年度报告(3)
2016 年度Seebug平台漏洞搜索关键词统计结果显示,路由器漏洞是大家关注的重点。其次,各种办公OA系统,命令执行,代码执行,反序列化漏洞等高危漏洞是社区用户关注的重点漏洞。这些漏洞轻则使服务器被攻陷,重则导致企业内网沦陷,重要商业机密数据被窃取。 TOP10 关键词搜索量千分比 4. 3 照妖镜:快速检测目标站点漏洞情况 自 2015 年 11 月上线以来,照妖镜共使用 82118 次,可在线检测漏洞 9 个。 2016 年共使用 58564 次,在线检测漏洞新增 6 个: WordPressfunctions.php 主题文件后门漏洞 Memcached 多个整数溢出漏洞 (CVE-2016-8704, CVE-2016-8705, CVE-2016-8706) Struts 2 远程代码执行漏洞(S2-037) Struts 2 远程代码执行漏洞(S2-033) WordPress 4.2.0-4.5.1 flashmediaelement.swf 反射型 XSS 漏洞, Struts2 方法调用远程代码执行漏洞(S2-032) 五、白帽子与奖励 5.1 百万现金 - Seebug漏洞奖励计划 2016 年,是漏洞奖励计划的第二年,在发放完 2015 年的首批百万现金奖励之后,Seebug漏洞社区团队再次投入二百万现金奖励。从前文可以看到, 2016 这一年,Seebug共收到白帽子提交漏洞/PoC/详情4983 个。 漏洞现金奖励的门槛低,但是随着信息价值的提高,奖励也指数级的上涨。以下方式,都是可以获得奖励的途径:
5.2 Seebug漏洞社区的核心白帽子 在 2016 年 8 月的KCon黑客大会上,Seebug团队对 10 位核心白帽子进行了奖励,奖品包含证书以及纯银奖章等,希望他们能够再接再厉,提供更多的漏洞情报。 在 2016 年收录的 4983 个漏洞中,有以下十位白帽子提供了大量的漏洞资料,其中提交漏洞数最多的是kikay,提交并被收录漏洞达到 467 个之多。 漏洞提交数量排名前十名的白帽子 Seebug漏洞社区精华之处在于可以对已收录漏洞的PoC和详情进行补充,即便自己错过了第一提交时间,也仍然可以通过完善漏洞信息来获取KB。 2016 年Top10 用户提交PoC数量排名见下图。 附录:Seebug发展里程碑 2006 年 08 月 18 日- Bug Exp Search @BETA 版发布,以收集国内外网络安全缺陷与漏洞为主; 2006 年 10 月 25 日- Sebug 正式版发布,网站大改版,优化了部分代码并清除了若干安全隐患; 2008 年 08 月- Sebug Security Vulnerability DB 作为封面头条接受国内知名杂志《黑客手册》采访; 2009 年 03 月 - 添加 Paper 模块并收集国内外安全文档、测试文档以及历史漏洞PoC; 2014 年 01 月- Sebug 移交知道创宇安全研究团队维护; 2015 年 07 月- Sebug 重新改版上线内测,提出赋予漏洞灵魂概念; 2015 年 08 月 - 知道创宇漏洞社区计划发布,Sebug 正式上线公测,面向白帽子悬赏百万漏洞贡献补贴 2015 年 11 月- Sebug 照妖镜功能上线; 2015 年 12 月- Sebug 新版上线,全新 VI 与整站风格,上线绵羊墙等功能; 2016 年 01 月 - Beebeeto 并入 Sebug,Sebug 品牌正式升级为 Seebug; 2016 年 1 月 29 日- Seebug 漏洞数量正式突破 5 万; 2016 年 03 月 28 日- Seebug 国际版上线; 2016 年 03 月 31 日- Seebug 与ZoomEye、Pocsuite共同亮相 Black Hat Asia; 2016 年 08 月–Seebug Paper专栏上线。 (编辑:ASP站长网) |