您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > 9-从乌云漏洞平台谈互联网安全
WooYun目录关于WooYun一些数据国内互联网安全现状我们能做什么我们能做什么Q/AWooYun?关于WooYun尊重进步意义意义一些数据运行400天覆盖绝大多数互联网行业80个厂商300位白帽子300位白帽子2000个漏洞互联网安全现状行业情况涉及行业○门户/客户端/支付/搜索/购物/视频/SNS/微博/团购/手机/无线/金融证劵/……涉及问题○普遍问题○特有问题互联网企业安全架构互联网企业安全架构应用产品安全应用产品安全基础架构运维管理产品开发业务运营安全内部信息安全互联网安全现状攻击界面/安全问题发生点(与传统看重安全开发过程中的漏洞相比,WooYun关心的更全面)硬件设施/操作系统硬件设施/操作系统网络边界/基础架构系统运维/服务设置应用程序/应用漏洞业务安全/运营风险互联网安全现状WooYun流行漏洞top10(按照漏洞出现概率统计)○Xss跨站脚本攻击SQL注射服务运维配置不当应用程序配置不当远程代码执行URL跳转漏洞引用第三方不可信程序系统认证薄弱/弱口令权限认证不当/越权访问CSRFWooYun流行漏洞top105%4%3%3%2%WooYun流行漏洞流行漏洞流行漏洞流行漏洞top10Xss跨站脚本攻击SQL注射服务运维配置不当应用程序配置不当远程代码执行40%22%10%6%5%远程代码执行url跳转引用第三方不可信程序系统弱口令权限认证不当/越权访问csrf互联网安全现状WooYun危害top10(按照厂商和白帽评价统计)服务运维配置不当SQL注射远程代码执行应用程序配置不当系统认证薄弱/弱口令权限认证不当/越权访问引用第三方不可信程序XSSCSRFURL跳转漏洞互联网安全现状WooYun不安全配置top8NginxStructsBindBindApache/TomcatJbossFckeditorSvnPhpmyadmin互联网安全现状WooYun经典top10(allfixed)360浏览器远程代码执行漏洞携程网某ajax验证存在sql注入顺丰宝业务逻辑漏洞顺丰宝业务逻辑漏洞淘宝阿里旺旺远程ActiveX栈溢出漏洞珍爱网任意文件泄露漏洞互联网安全现状WooYun经典top10H3CER5100企业级双核宽带路由器web管理页面存在验证漏洞神州泰岳OA办公平台信息泄露://人民日报电子阅读栏结界绕过漏洞易宝支付企业用户资料泄露百合网应用管理不当导致远程代码执行Google/Facebook奖励Xiaonei/kaixin001/sina微博WooYuntop10VsOwasptop10Owasptop10WooYuntop10商业利益vs信息安全信息安全无法支撑巨大的商业利益上市公司没有尽到上市公司的责任技术问题vs管理问题互联网产品安全生命周期安全开发安全运维扫描监控扫描监控流程规范意识培训大部分问题都可以通过上述周期里某一处解决,但是事实上却没有做到正确对待WooYun思考整个体系的缺陷而不仅仅是修复问题与安全社区建立良好的关系通过学习避免发生其他人发生的悲剧Q/A☺
本文标题:9-从乌云漏洞平台谈互联网安全
链接地址:https://www.777doc.com/doc-1248595 .html