安全众测下的漏洞发展新趋势（41页）.pdf

《安全众测下的漏洞发展新趋势（41页）.pdf》由会员分享，可在线阅读，更多相关《安全众测下的漏洞发展新趋势（41页）.pdf（41页珍藏版）》请在三个皮匠报告上搜索。

1、安全众测下的漏洞发展新趋势姓名姓名姚亮斗象科技资深安全服务工程师（照片部分由主办方添加）目录CONCENTS1.2.3.不同行业漏洞现状分析安全众测与漏洞变迁当前安全环境下漏洞挖掘小技巧Analysis of security vulnerability in different industries 不同行业漏洞现状分析不同行业漏洞现状分析金融行业030105020604认证缺陷认证缺失在金融行业的漏洞占比约为9.34%.应用型漏洞（代码执行、注入、XSS）常规应用型漏洞在金融行业的漏洞占比约为8.55%权限控制根据漏洞盒子后台不完全统计权限控制在金融行业漏洞占比为33.33%.逻辑漏洞逻辑

2、漏洞在金融行业漏洞占比为28.22%.其他其他漏洞类型在金融行业的漏洞占比约10.33%为.信息泄露逻辑漏洞在金融行业的漏洞占比为10.23%.不同行业漏洞现状分析传统互联网企业漏洞占比统计Statistics of vulnerability proportion 逻辑漏洞逻辑漏洞在传统互联网企业的漏洞占比约为11.83%注入、XSS、上传等应用型漏洞传统应用漏洞在传统互联网企业的漏洞占比约为26.59%其他类型漏洞其他漏洞类型在传统互联网企业的漏洞占比约为12.63%权限控制缺失根据漏洞盒子后台不完全统计权限控制缺失漏洞在传统互联网企业漏洞占比为23.41%.信息泄露信息泄露漏洞在传统互联

3、网企业的漏洞占比约为12.77%.认证缺失认证确实在传统互联网企业的漏洞占比约为12.77%.010203040506不同行业漏洞现状分析传统行业制造业权限缺失根据漏洞盒子后台不完全漏洞权限缺失在传统制造业的漏洞占比为44.12%.应用型漏洞（注入、XSS漏洞等）应用型漏洞在传统制造业的漏洞占比约占25.22%.弱口令弱口令在传统制造业的漏洞占比约占10.23%.信息泄露及其他逻辑漏洞信息泄露及逻辑漏洞在传统制造业中的漏洞占比约占20.43%.44.12%25.22%10.23%20.43%Changes of security vulnerability types in crowd tes

4、ting environment 安全众测与漏洞类型变迁安全众测与漏洞类型变迁来自漏洞盒子的一些有趣统计最值钱的“手艺”：SQL注入漏洞白帽子单个漏洞类型一年收入20w+.白帽子获得单个漏洞最高奖励单个漏洞奖励金额为80000 RMB.漏洞盒子白帽子地区分布统计根据漏洞盒子后台白帽子注册数统计，白帽子占比前三的省市分别为北京、广州、上海.白帽子在单个项目获取最高奖励白帽子在单个项目获得最高的奖励为150000 RMB安全众测与漏洞类型变迁如何保障众测风险可控项目管理角度限制1、实名登记，包括身份证、联系方式、银行卡号等信息2、相应的奖罚制度对于违规者有严格的惩处措施3、记录参与项目白帽子信息，

5、包括IP、名称、时间等。以及内置及时聊天工具可以很好的和白帽子沟通人员管理角度限制1、平台白帽子严格等级划分制度2、测试团队组建：自有测试团队（30%）+核心白帽子团队（70%）提供10100测试人员，具体数量可根据企业需求调整法律角度1、与白帽子有保密协议2、测试边界限定技术角度限制1、VPN-统一流量审计2、堡垒机-测试过程监控.安全众测与漏洞类型变迁少数测试人员漏洞成本高有限因人而异人员多样化成本可控全面覆盖效果好VS渗透测试传统测试与安全众测对比安全众测传统测试安全众测与漏洞类型变迁随着安全众测被越来越多的国内企业接收，在安全众测的推动下现阶段国内企业的网络安全现状也发生着根本的变化，

6、同时随着网络设备防护机制的不断完善导致一些安全漏洞将成为历史。传统型应用漏洞向业务逻辑型漏洞发展.开发安全导致的漏洞向引用三方框架及应用导致的漏洞发展工具扫描型漏洞向人工渗透型漏洞发展01020304单一漏洞类型向漏洞综合利用发展Tips for vulnerability mining in current security environment 当前安全环境下漏洞挖掘小技巧当前安全环境下漏洞挖掘小技巧多一份执着，多一种可能在“我的”界面，点击“专业版会员”时抓包，会触发一个数据包。接口如下：https:/ hashmap中，之后取出数值按以下字符串组合进行SHA1得出sign。activ