10-百度方小顿-从乌云漏洞平台谈互联网安全.pdf

WooYun 目录 关于WooYun 一些数据 国内互联网安全现状 我们能做什么我们能做什么 Q/A WooYun? 关于WooYun 尊重 进步 意义意义 一些数据 运行400天 覆盖绝大多数互联网行业 80个厂商 300300位白帽子位白帽子 2000个漏洞 互联网安全现状 行业情况 涉及行业 ○ 门户/客户端/支付/搜索/购物/视频/SNS/微博/ 团 购/手机/无线/金融证劵/…… 涉及问题 ○ 普遍问题 ○ 特有问题 互联网企业安全架构 互联网企业安全架构 应用产品安全应用产品安全 业务 内部 运营 信息 基础 运维 产品 安全 安全 架构 管理 开发 互联网安全现状 攻击界面/安全问题发生点 （与传统看重 安全开发过程中的漏洞相比，WooYun关 心的更全面） 硬件设施硬件设施//操作系统操作系统 网络边界/基础架构 系统运维/服务设置 应用程序/应用漏洞 业务安全/运营风险 互联网安全现状 WooYun 流行漏洞top 10(按照漏洞出现概 率统计) ○ Xss跨站脚本攻击 SQL注射 服务运维配置不当 应用程序配置不当 远程代码执行 URL跳转漏洞 引用第三方不可信程序 系统认证薄弱/弱口令 权限认证不当/越权访问 CSRF WooYun流行漏洞top 10 Xss跨站脚本攻击 WooYun流行漏洞流行漏洞top 10 流行漏洞流行漏洞 3% SQL注射 2% 3% 4% 服务运维配置不当 应用程序配置不当 5% 5% 40% 远程代码执行远程代码执行 6% url跳转 引用第三方不可信程 10% 序 系统弱口令 权限认证不当/越权访 22% 问 csrf 互联网安全现状 WooYun 危害top 10 （按照厂商和白帽评价 统计） 服务运维配置不当 SQL注射 远程代码执行