2015年10月数据安全漏洞分析报告-51CTOcom.PDFVIP

2015 年10 月数据安全漏洞分析报告 - I - 目录 2015 年10 月数据安全漏洞分析报告 I 报告核心观点 3 报告正文 3 格局不改，SQL 注入重回“王者” 3 白帽子“独爱”政府，60 个漏洞显现 4 10 月常见数据泄露原因分析 5 从SQL 角度防守SQL 注入 8 结束语 9 10 月数据安全漏洞列表 9 联系作者 18 关于安华金和 18 - II - 报告核心观点 为了提高广大用户的安全意识，国内专业数据库安全厂商安华金和，综合来 自补天、乌云、漏洞盒子等漏洞平台高危数据安全漏洞，发布每日安全资讯，数 据库攻防实验室（DBSec Labs）以月为单位，将数百个高危漏洞汇总，形成分 析报告，分享广大用户及合作伙伴。 10 月报告核心观点 1. 格局不变，SQL 注入重回 “王者” 2. 白帽子“独爱”政府，60 个漏洞 3. 10 月常见数据泄露原因分析 4. 从SQL 角度防守SQL 注入 报告正文 2015 年10 月，安华每日安全资讯总结发布了154 个数据泄密高危漏洞，这 些漏洞分别来自乌云、补天、漏洞盒子等平台，涉及8 个行业，公司机构、互联 网、交通运输、教育、金融保险、能源、运营商、政府。同比9 月份的134 个， 漏洞数量增加20 个。10 月份的漏洞中，SQL 注入漏洞数量占总量的38%，重 回“第一宝座”。 格局不改，SQL 注入重回 “王者” 数据安全问题多数是从Web 端开始。10 月份SQL 注入漏洞再次引爆新高 潮，被白帽子挖掘出58 个SQL 注入相关漏洞，这些漏洞遍及公司机构、互联 网、政府等6 个行业。SQL 注入漏洞在10 月份统计的漏洞总数中占据了近4 成 比例。 © 2015 安华金和 - 3 - sql注入, 38% sql注入 其他 其他, 62% 10 月平台SQL 注入漏洞占主要比重 10 月的SQL 注入漏洞与以往的SQL 注入漏洞存在很大的不同点。以往SQL 注入是由于平台缺乏对应的校验机制而导致注入成功。10 月的SQL 注入案例中 很多平台的后台存在WAF ，但入侵者绕过WAF 进行SQL 注入。这源于WAF 的 某些技术限制，确实存在一些手段可以绕过WAF 进行SQL 注入。 白帽子“独爱”政府，60 个漏洞显现 从10 月154 个受到数据泄露漏洞威胁的行业来看，政府、互联网、行业机 构依旧是重灾区。10 月单月仅安华每日安全资讯统计出的154 个高危漏洞中就 有60 个政府行业漏洞 （包含了卫生医疗、教育、社保公积金几个子类）占比 38%，互联网行业占全部数据泄露威胁的22%。行业机构紧随其后，漏洞比例占 11%。 © 2015 安华金和 - 4 - 行业机构, 11% 行业机构 互联网 政府, 38% 交通运输 互联网, 22%