通用软件产品的漏洞数量排名

最新推荐文章于 2024-01-07 02:06:56 发布
最新推荐文章于 2024-01-07 02:06:56 发布
阅读量569 收藏
点赞数
文章标签: linux 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maoguan121/article/details/127545059
版权
本文分析了NVD历史漏洞数据,指出漏洞数量逐年显著增长,尤其2016年增长率高达411%。开源操作系统如Debian Linux的漏洞曝光较多,而Microsoft、Oracle等供应商的产品漏洞数量领先。浏览器漏洞利用频繁,尤其是Chrome,而Flash漏洞虽减少但仍有攻击价值。移动应用和物联网设备的安全问题也日益突出。
摘要由CSDN通过智能技术生成

摘要

随着计算机
网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏 洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件 的发生。对软件开发商来说,通过对漏洞的研究,可以帮助开发人员把更多的精力放在安全开发过程中 需要注意的关键技术上,开发出高质量
的软件。本文以 NVD为数据源 1,对截止 2019 年底的历史漏洞 数据进行分析总结,并基于绿盟威胁情报中心 (NTI),得出以下观点:1. 通过对历史漏洞数据的回顾,可以看到漏洞数量呈现显著增长的总体趋势,2019 年的漏洞数量 比 1999 年增长了 9.62 倍。

  1. 操作系统被公开的漏洞中,开源操作系统占比相对更高,其安全性
    问题可能暴露的更充分。如 排名第一的 Debian Linux 系统在过去的 20 年累计发现了 3705 条漏洞,以高效快速地修复安全 问题著称。1. 根据绿盟威胁情报中心显示,十年以上高龄漏洞在攻击事件中占比仍然高,对于这些历史悠久 的漏洞,由于攻击门槛低,攻击者依然在大量使用。
  2. 浏览器作为网络攻击的入口,漏洞种类复杂多样。通过对应用类软件漏洞利用在网络攻击事件 进行统计,浏览器漏洞利用占比 48.44%,影响范围广,安全人员仍需关注浏览器的更新与防护。
  3. 利用文件格式漏洞的鱼叉式钓鱼攻击已成为网络安全的主要威胁之一,攻击者通过诱导目标对 象点击打开包含漏洞的 PDF 或
最低0.47元/天 解锁文章
maoguan121
关注
漏洞复现】大华DSS数字监控系统配置系统后台弱口令漏洞
晚风不及你
03-08 1498
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
漏洞复现】大华DSS数字监控系统getAttList SQL注入漏洞
最新发布
晚风不及你
03-05 784
大华DSS数字监控系统是一个在通用安防视频监控系统基础上设计开发的系统,除了具有普通安防视频监控系统的实时监视、云台操作、录像回放、报警处理、设备治理等功能外,更注重用户使用的便利性。
漏洞发展趋势摘要
m0_73803866的博客
10-27 591
随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏 洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件 的发生。
漏洞战争: 软件漏洞发展趋势
weixin_34061555的博客
08-09 350
◆ ◆ ◆引言 近几年,在电脑上的软件漏洞分析与利用技术已经发展得相当成熟,很多技术也被黑产所利用,但也正因为如此,它极大地推进软件漏洞领域的发展,比如微软在IE上新增了许多安全机制(延迟释放、隔离堆、控制流防护等),大大地提升了IE浏览器的安全性。外部曝光的各大APT攻击事件也将持续存在,用的不一定是0day,也可能是一些旧漏洞的综合利...
漏洞发展趋势
m0_74079109的博客
10-27 245
攻击事件中使用的漏洞和具体的操作系统环境相关,如物理隔离 环境下的内网中,就可能存在没有及时更新补丁或版本的核心系统、数据库、系统和软件,攻击者一旦 进入内网就可以利用这些成熟的漏洞利用代码发起有效的攻击。从日志中可以看到,攻击事件的发生不仅会用到近几年的漏洞,像 EternalBlue、Tomcat 远程代码 执行这样好用的 Nday 漏洞也是黑客手中的利器,一些历史悠久的 SQL注入、拒绝服务类型漏洞,由 于攻击门槛低,效果显著,攻击者依然在大量使用,使用到的漏洞按年份分布情况如图 2.3 所示。
漏洞十年增长了三倍,利用新漏洞攻击成趋势
互联网安全研究院
04-28 2594
近日,Skybox Security发布的《2022年漏洞和威胁趋势报告》显示,2021年公布的新漏洞共有20175个,十年间增长了三倍,创历史新高。 研究报告的关键发现 2021年数据泄露平均损失为424万美元。 组织在网络安全人员配备上持续严重不足。安全负责人认为,技术能力缺乏导致组织很难满足安全方面的要求,难以有效地应对各种安全事件。 企业检测并响应网络攻击所需的平均时间延长到了280天。 网络攻击者变得更擅长借助一系列新的技术手段,不断推出新的恶意软件。2021年新型的恶意软件和漏洞攻击,
主题模型分析漏洞趋势
Yale的博客
05-22 494
趋势分析是一种统计方法,它通过将从某个观察目标获得的数据视为一个时间序列来估计数据趋势。趋势分析的方法很多,我们本次实验使用称为“主题模型”(topic model)的方法进行趋势分析 我们将会对漏洞信息进行趋势分析并估算漏洞趋势。具体来说,我们使用主题模型分析2018年报告的漏洞信息,并掌握2018年的漏洞趋势。 本次实验涉及到机器学习中的两个关键词,即Topic model和LDA,这两者是什么关系呢? 先来学习主题模型。 主题模型在机器学习和自然语言处理等领域是用来在一系列文档中发现抽象主题的一种统计
公开漏洞数的变化趋势分析
maoguan121的博客
10-30 220
不管攻击者的目的 是出于经济的目的(比如南美某国电网被攻击者敲诈勒索[Event2008])、意识形态的纷争[stuxnet1] (比如:燕子行动[LHP2013-1])甚至是国家间网络战对抗[News2012]的需要,我们必须深入研究工 业控制系统的安全性及其可能遭受到的各种威胁,并提供切实有效的安全防护措施,以确保 这些时刻关系到国计民生的工业控制系统的安全运营。此外,CVE 漏洞库也对工业控制系统相关的漏洞非常重视,目前公开的工业控制系统漏 洞数以百计,并提供相关漏洞的修补信息。
NVDCVE2002-2020年3月xml漏洞文件数据合集.zip
05-07
CVE是全球通用漏洞唯一标识符,用于识别和跟踪不同的安全漏洞。NVD则是这些数据的主要来源,它提供了CVE的详细描述、CVSS评分和其他相关信息。 压缩包内的文件列表包括了从2003年至2020年间的每年数据(缺少2005...
漏洞扫描的历史与发展:如今的安全挑战
AI天才研究院
01-07 670
1.背景介绍 漏洞扫描是一种自动化的安全测试方法,主要用于发现系统中的安全漏洞。随着互联网的普及和数字化的推进,网络安全问题日益严重,漏洞扫描技术在这一背景下变得越来越重要。本文将从漏洞扫描的历史到现代漏洞扫描的发展,再到未来的趋势和挑战等方面进行全面阐述。 2.核心概念与联系 漏洞扫描技术的核心概念主要包括:漏洞、扫描、自动化、安全测试等。 2.1 漏洞 漏洞是指系统中存在的安全缺陷,...
漏洞发展趋势漏洞利用情况
m0_73803866的博客
10-27 386
攻击事件中使用的漏洞和具体的操作系统环境相关,如物理隔离 环境下的内网中,就可能存在没有及时更新补丁或版本的核心系统、数据库、系统和软件,攻击者一旦 进入内网就可以利用这些成熟的漏洞利用代码发起有效的攻击。从日志中可以看到,攻击事件的发生不仅会用到近几年的漏洞,像 EternalBlue、Tomcat 远程代码 执行这样好用的 Nday 漏洞也是黑客手中的利器,一些历史悠久的 SQL注入、拒绝服务类型漏洞,由 于攻击门槛低,效果显著,攻击者依然在大量使用,使用到的漏洞按年份分布情况如图 2.3 所示。
2020年网络安全漏洞态势报告-整体漏洞趋势
H3C的博客
04-28 3060
新华三攻防实验室长期对国内外网络安全漏洞进行监测,通过对2020年漏洞进行全面的收集和分析,由高级威胁分析团队、漏洞分析团队、威胁情报团队联手,总结出2020年网络安全漏洞态势报告。报告从漏洞总体趋势、Web应用漏洞、操作系统漏洞网络设备漏洞、数据库漏洞、工控系统漏洞、云计算漏洞多个方面对漏洞趋势进行分析与总结,以观察者的视角尝试剖析2020年网络安全形势及其变化,希望以此为各行业以及相关企事业单位提供网络安全建设和策略的参考。
安全漏洞相关概念(CVE,CNA, CWE,CVSS,OWASP)
oscar999的专栏
10-04 3834
* CVE给发现的漏洞编号 (事后补救), CWE 旨在通过对所有已识别的缺陷和暴露进行分类(事前预防) * CVSS 用来给发现的漏洞一个严重等级的评分 * OWASP 和 CWE 每年会发布一个排名靠前的漏洞的列表。
ANDROID历年漏洞数量
maoguan121的博客
10-27 672
Adobe 公司在 2005 年收购 Flash,并大力推广应用使其一度是漏洞挖掘人员的研究焦点,根据图 3.4 的历史数据可以看到,2015 和 2016 年爆出的漏洞总数占据整体数量的 55.09%。在 Hacking Team 泄 露 CVE-2015-5122 和 CVE-2015-5199 这两个 0day 漏洞之后,更是给漏洞利用带来了通用的模板 1,但 之后随着 Adobe 引入了隔离堆、Vector 长度检测、CFG保护等安全机制,Flash 漏洞利用的门槛被加 大了很多。 图 3.4 FL
2020-07 补丁日:Oracle多个产品高危漏洞安全风险通告
爱国小白帽
07-15 1757
360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 事件简述 2020年07月15日,360CERT监测到Oracle官方发布了7月份的安全更新。 此次安全更新发布了443个漏洞补丁,其中Oracle Fusion Middleware有52个漏洞补丁更新,主要涵盖了Oracle Weblogic、Oracle Coherence、Oracle BI Publisher、Oracle Endeca Information Discovery Studio、O
【学习笔记】CWE-617: 可达的assertion断言安全漏洞
rm -rf *
04-04 192
由于public方法在调用时系统必须进行参数检查而私有方法是直接使用的,因此不要使用断言进行public方法的参数有效性检查以及执行程序需要完成的正常操作,当断言用于公共方法中的参数检查时,就可能会出现“可达的assertion”安全漏洞。在私有方法调用时会使用直接传入的参数,如果私有方法对参数有特定的要求可以在方法处使用断言进行参数检查。在处理恶意数据包时,受影响的产品服务器中的缺陷可能会导致断言失败,这可能会导致拒绝服务的情况。不变量反应程序的特性,可以通过分析程序的不变量监测程序运行中的异常。
安全漏洞分类之CNNVD漏洞分类指南
明光札记
11-30 6387
凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞通用漏洞及事件型漏洞。CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
利用pyhton对绿盟漏扫结果进行提取
qq_44597211的博客
03-09 755
起因是公司对客户进行了一次漏扫出来1000多个存活IP,由于扫描器是绿盟的没有总表,然后公司有要求将部门和IP对应然后理出每个IP中存在的中高危的漏洞及解决办法(这个解决办法只存在于)筛选下来发现200来个IP,要在这一千多个excl表中一张张的翻有点受不了于是决定写一个脚本来实现对需要数据的提取。首先理出来需要的厂商名及对应IP以公司名为排序依据如下命名为name.xls。结果如图每个厂商都建立了一张分表保存他们的主机IP及对应的漏洞名。绿盟的主机扫描结果为主机IP.xls。
从过去5年CWE TOP 25的数据看软件缺陷的防护
hwxiaozhi的博客
09-18 254
"以史为鉴,可以知兴替"。CWE 已经连续5年发布了 CWE TOP 25,我们可以从过去5年CWE TOP 25 的变化趋势,去寻找高危安全漏洞的发展趋势,为安全政策和投资决策提供指引,这对于安全防护人员、代码检查工具的开发,以及编程人员都有着非常重要意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值