2017年上半年 补天平台漏洞收录分析报告 2017年8月28日 摘 要 ² 2017年上半年，补天平台SRC共收录各类网站安全漏洞10693个，共涉及8460个网站。 ² 补天平台共收录8460个网站，有93.0%的网站已经备案。其中，企业备案网站的数量是最多的，占比为41.5%。 ² 从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为2.7%，97.3%的网站漏洞都为事件型漏洞。 ² 从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为26.2%，中危漏洞占比为39.0%，低危漏洞占比为34.8%。 ² 从补天平台收录网站漏洞的具体类型来看，SQL注入漏洞最多，占比为29.5%，其次是命令执行和弱口令，占比分别为26.6%和11.9%。 ² 从省级地域分布来看，收录网站漏洞最多的十个省份占到了总量的74.0%。其中，IP地址在北京的网站漏洞最多，占比为26.3%，其次广东省为10.2%，浙江省为6.5%。 ² 从城市地域分布来看，收录网站漏洞最多的十个城市占到了总量的54.4%。其中，IP地址在北京市的网站漏洞最多，占比为26.3%，其次上海市为6.3%，杭州市为4.5%。 ² 在补天平台收录网站漏洞中，76.7%的网站漏洞已经进行了修复，23.3%的网站漏洞未进行修复。 ² 2017年上半年，共有2781名白帽子向补天平台提交13356个有效漏洞，总计获得奖金247.9万元。 ² 从报给补天平台并被收录的漏洞总数来看， 挖洞最多和获得奖金最多的都是carry_your，共贡献363个漏洞，堪称“挖洞”劳模。 ² 向补天平台提交漏洞的白帽子中，女性白帽子占比仅为5.8%，相比2016年10.2%的女性白帽子在补天平台提交漏洞，有一定的下降趋势。男性白帽子占比为94.2%。 ² 根据白帽子的注册信息统计，在2017年上半年向补天平台提交漏洞的白帽子中，年龄最小的14岁，年龄最大的67岁。其中，18岁-28岁之间的白帽子数量最多，约占总数的79.9%。 ² 从年龄段来看， 延续了2016年的趋势， 年轻的 “90后” 目前仍然是白帽子的绝对主力，占白帽子总量的75.2%，“80后”次之，占10.8%，00后正在崛起，占比为9.1%。 关键词： 补天平台、漏洞挖掘、白帽子 2 目 录 第一章 漏洞数量与备案情况 ......................................................................................................... 1 一、 漏洞报告数量 .................................................................................................................... 1 二、 网站备案情况 .................................................................................................................... 2 第二章 漏洞性质与类型分布 ......................................................................................................... 3 一、 网站漏洞性质 .................................................................................................................... 3 二、 网站漏洞等级 .................................................................................................................... 4 三、 网站漏洞类型 .................................................................................................................... 4 四、 网站漏洞修复 .................................................................................................................... 5 第三章 漏洞网站地域分布 ............................................................................................................ 6 第四章 白帽子与漏洞奖励 ............................................................................................................ 7 一、 白帽子获奖情况 ................................................................................................................ 7 二、 白帽子性别分布 ................................................................................................................ 7 三、 白帽子年龄分析 ................................................................................................................ 8 四、 人才培养与输出 ................................................................................................................ 9 附录 补天平台及补天白帽大会介绍 .............................................................................................. 11 1 第一章 漏洞数量与备案情况 本章从人工挖掘角度， 对网站漏洞情况进行分析。 主要根据补天平台公开征集收录白帽子提交的漏洞信息，结合平台自身对漏洞的研究积累，从而分析2017年上半年存在漏洞，且被白帽子关注的全国数万个网站的安全状况。 一、 漏洞报告数量 2017年上半年，补天平台SRC共收录各类网站安全漏洞10693个，共涉及8460个网站。其中，3月份收录的网站漏洞数量最多，为3032个。 2 二、 网站备案情况 根据工信部相关规定，网站域名需在主管部门备案。一般网站正常备案的类型为：政府机关、军队、事业单位、社会团体、企业、个人、基金会、律师事务所等类型。 补天平台共收录8460个网站（共涉及漏洞总量为10693个） ，有93.0%的网站已经备案。其中，企业备案网站的数量是最多的，占比为41.5%，事业单位备案网站为25.5%，政府机关备案网站为19.4%。 在这8460个网站中，仍有7.0%的网站未取得工信部的ICP/IP备案或备案已过期。此外，在已取得正式备案的网站中还有4.4%网站使用的是个人备案。 3 第二章 漏洞性质与类型分布 本章主要从漏洞性质、等级和类型分布来分析不同行业的网站安全状况。在本报告中漏洞性质主要是指通用型漏洞和事件型漏洞；漏洞等级主要是指高危、中危和低危；漏洞类型主要是指SQL注入、命令执行、弱口令、信息泄露、代码执行等。 一、 网站漏洞性质 2017年上半年，从补天平台收录网站漏洞的性质来看，通用型漏洞比例很低，仅为2.7%，97.3%的网站漏洞都为事件型漏洞。 鉴于多数通用型漏洞属于可以检测的已知漏洞，而事件型漏洞则存在一定的偶发性和不可预测性。但从另一个角度来看，网站存在大量的事件型漏洞，这也就意味着：仅仅通过一般的、通用的安全检测手段并不足以及时的发现网站潜在的安全问题。第三方平台对网站漏洞的收集和报告，对于正规的网站来说尤为重要。 4 二、 网站漏洞等级 2017年上半年，从补天平台收录网站漏洞的危害等级来看，高危漏洞占比为26.2%，中危漏洞占比为39.0%，低危漏洞占比为34.8%。下图给出了补天平台收录的网站漏洞的危险等级情况。 三、 网站漏洞类型 2017年上半年，从补天平台收录网站漏洞的具体类型来看，SQL注入漏洞最多，占比为29.5%，其次是命令执行和弱口令，占比分别为26.6%和11.9%。占比较高的还有信息泄露（11.8%） 、代码执行（5.3%） ，具体漏洞类型分布请见下图。 5 四、 网站漏洞修复 补天平台会不定期进行人工复核，以了解漏洞