安全漏洞

2020年赏金最高的十大漏洞类型

根据HackerOne周四发布的十大漏洞列表,跨站点脚本(XSS)仍然是影响力最大的漏洞,因此该漏洞在2020年连续第二年为白帽子黑客获得了最高的回报——2020年为黑客赢得了420万美元的漏洞赏金,比2019年增长了26%。

以下是2020年支付赏金最高的十大漏洞列表:


HackerOne维护着一个黑客发现的200,000个漏洞的数据库,根据该网站的数据,企业今年总共向白帽黑客支付了2350万美元的漏洞赏金,以解决所有这些漏洞。

除了排名第一的XSS,2020年最具影响力和赏金最高的十大漏洞类型还包括:不当访问控制、信息泄露、服务器端伪造请求(SSRF)、不安全的直接对象引用(IDOR)、特权升级、SQL注入、不正确的身份验证、代码注入和跨站点请求伪造(CSRF)。

根据HackOne的报告,2020年漏洞管理领域呈现五大趋势:

黑客最爱用三种邮件入侵手法

根据Softnext守内安与ASRC研究中心的观察,近期黑客最常运用的三大邮件攻击手法为:Office漏洞入侵、离线钓鱼攻击(Offline Phishing),以及恶意VBA攻击。事实上这三种攻击入侵手法都是老把戏,虽然运用的技术各有不同,但是搭配战术都是透过精心设计的社交工程邮件对使用者设下骗局;并且在三个之中就有两个是利用微软的Office发动的攻击。

Top1. 利用Office漏洞发动攻击,只要打开文档就受黑

黑客透过电子邮件递送特制的Word或RTF格式附件,搭配社交工程手法诱骗使用者开启。只要使用者开启附件,便会触发OLE漏洞或方程式漏洞,自动执行内嵌的恶意指令从远方下载并植入恶意程序,使攻击者可取得受感染电脑的控制权,借以发动其他恶意攻击。

OLE漏洞(CVE20144114)与方程式漏洞(CVE201711882)并非崭新的漏洞,但这些旧漏洞经过时间证明,足够「经典」并且「稳定」、「可被触发」,只要能够成功引起使用者的好奇,一旦附件被开启,不需要使用者再配合执行其他动作,漏洞便会触发执行恶意程序,黑客便能取得电脑掌控权。

漏洞挖掘、利用及修复——从人工到自动的跨越

随着互联网的普及,各类App如雨后春笋般产生。受限于代码质量,App中或多或少的会存在各类漏洞。据统计,CVE(http://cve.mitre.org/)及CNNVD(http://www.cnnvd.org.cn/)能够涵盖的漏洞多达100000个,严重威胁着网络及用户安全。当前,二进制漏洞挖掘主要依靠专业人员的人工审计,从而能够提供准确的漏洞点、漏洞利用及修补方案。

然而,人工审计与挖掘存在以下缺陷:

1. 开发团队往往缺少专业的安全人员,不能及时发现漏洞;

2. 面对数量庞大的漏洞,安全人员疲于应对。而自动化漏洞挖掘能够为人工审计提供良好的补充,也更为经济。

那么要构建这样一个自动化漏洞挖掘的系统需要哪些技术呢?下面,我们介绍一些具有代表性的相关技术。

一、自动化漏洞挖掘技术

当我们拿到一个App以后,首要的工作是找到该App中的漏洞点。从被检测程序是否被运行的角度可知,自动化漏洞挖掘技术可分为静态分析、动态分析及混合分析。

要小心这5个臭名昭著的物联网黑客和漏洞

物联网设备的数量呈指数级增长,但随着增长,保护这些设备的难度也越来越大。我们还没有找到解决物联网安全的灵丹妙药,消费者和企业都在担心实施物联网解决方案或购买智能锁等消费设备的潜在风险。

确实该担心!我们已经看到了很多非常可怕黑客入侵物联网设备的例子,从用于儿童的智能家居产品到互联网内容的删除等。下面是5个臭名昭着的物联网黑客,他们告诉我们未来在设备中构建安全性的重要性。