WooYun目录�关于WooYun�一些数据�国内互联网安全现状�我们能做什么�我们能做什么�Q/AWooYun?�关于WooYun�尊重�进步�意义�意义一些数据�运行400天�覆盖绝大多数互联网行业�80个厂商�300位白帽子�300位白帽子�2000个漏洞互联网安全现状�行业情况�涉及行业○门户/客户端/支付/搜索/购物/视频/SNS/微博/团购/手机/无线/金融证劵/……�涉及问题○普遍问题○特有问题互联网企业安全架构互联网企业安全架构应用产品安全应用产品安全基础架构运维管理产品开发业务运营安全内部信息安全互联网安全现状�攻击界面/安全问题发生点(与传统看重安全开发过程中的漏洞相比,WooYun关心的更全面)�硬件设施/操作系统�硬件设施/操作系统�网络边界/基础架构�系统运维/服务设置�应用程序/应用漏洞�业务安全/运营风险互联网安全现状�WooYun流行漏洞top10(按照漏洞出现概率统计)○Xss跨站脚本攻击�SQL注射�服务运维配置不当�应用程序配置不当�远程代码执行�URL跳转漏洞�引用第三方不可信程序�系统认证薄弱/弱口令�权限认证不当/越权访问�CSRFWooYun流行漏洞top105%4%3%3%2%WooYun流行漏洞流行漏洞流行漏洞流行漏洞top10Xss跨站脚本攻击SQL注射服务运维配置不当应用程序配置不当远程代码执行40%22%10%6%5%远程代码执行url跳转引用第三方不可信程序系统弱口令权限认证不当/越权访问csrf互联网安全现状�WooYun危害top10(按照厂商和白帽评价统计)�服务运维配置不当�SQL注射�远程代码执行�应用程序配置不当�系统认证薄弱/弱口令�权限认证不当/越权访问�引用第三方不可信程序�XSS�CSRF�URL跳转漏洞互联网安全现状�WooYun不安全配置top8�Nginx�Structs�Bind�Bind�Apache/Tomcat�Jboss�Fckeditor�Svn�Phpmyadmin互联网安全现状�WooYun经典top10(allfixed)�360浏览器远程代码执行漏洞�携程网某ajax验证存在sql注入顺丰宝业务逻辑漏洞�顺丰宝业务逻辑漏洞�淘宝阿里旺旺远程ActiveX栈溢出漏洞�珍爱网任意文件泄露漏洞互联网安全现状�WooYun经典top10�H3CER5100企业级双核宽带路由器web管理页面存在验证漏洞�神州泰岳OA办公平台信息泄露://�人民日报电子阅读栏结界绕过漏洞�易宝支付企业用户资料泄露�百合网应用管理不当导致远程代码执行�Google/Facebook奖励�Xiaonei/kaixin001/sina微博WooYuntop10VsOwasptop10�Owasptop10�WooYuntop10商业利益vs信息安全�信息安全无法支撑巨大的商业利益�上市公司没有尽到上市公司的责任技术问题vs管理问题�互联网产品安全生命周期�安全开发�安全运维�扫描监控�扫描监控�流程规范�意识培训�大部分问题都可以通过上述周期里某一处解决,但是事实上却没有做到正确对待WooYun�思考整个体系的缺陷而不仅仅是修复问题�与安全社区建立良好的关系�通过学习避免发生其他人发生的悲剧Q/A�☺
momoshengzizi
本文标题:9-从乌云漏洞平台谈互联网安全
链接地址:https://www.777doc.com/doc-1248595 .html