2022年网络安全漏洞态势报告 -新华三主动安全系列报告- 目录 "#$T&$TS j$% 1"1$%&'()* 1"+,fh./0)1 &'()*+,-7 +"12&$%()3 +"+$%456 +"*78$%9:; +"1,fh0)4<11 %/012,-jj *"12&$%()11 *"+$%451+ *"*78$%9:1* *"1,fh0)4<11 34567,-j8 1"12&$%()1= 1"+$%451= 1"*78$%9:13 1"1,fh0)4<16 9:;<,-j= >"12&$%()1; >"+$%45+? >"*78$%9:+1 >"1,fh0)4<++ 8>ƒ12,-&% ="12&$%()+* ="+$%45+* ="*78$%9:+1 ="1,fh0)4<+> 7@ABCã,-&8 3"12&$%()+= 3"+$%45+= 3"*78$%9:+3 3"1,fh0)4<+; EFGHIJ&= 6"1.@+; 6"+ABCD*? =GK%3 2022年网络安全漏洞态势报告 2EFAB,GHIJKLMNOPQRSAB$%T0)UVWXYZ[4<\$%4<\Z[]^4 <_`abcdWefg2022hRSAB$%0)^âjk^âlmnop2022h$%T,fhq./( )UrstWebuv\wxyz\RS[|\]~ã\ÄÅyz\žÉÑÖãáTâä4<p$%4fT,fh0)kã^âåçéèêëqíâì<2022hRSAB`a2&$%]îéïñó()UòôöõúùRSABC[ëûü†°T¢£k 1概述 j"j$%&'() +?++h2EFAB,GHIJ$%§•ã¶ßq$%.]ö+16;+®U©+?+1h&'+*"+™U&´ ¨wkÆØʱ$%1?6=®UX±$%;;>6®Uxç1ô¥UʱµX±$%_©>="1™Uxç+ô¥UX±é7$%©+?+1h&'11"*™kAB$%]ÚBqªº&'U;7TX±æ$%q]Ú_©ød¿û¡k+?13h¬+?++h$%./jƒh&'()UÆØX±é7$%ƒh&'©IÊÏ1?™k !j$%j&'$%$$()*+,-./ 12000 30000 10000 2489225000 8000 20203 20000 1775117920 6000 16299 14682 15000 4000 10000 2000 5000 0 0 2017年2018年2019年2020年2021年2022年 超危 高危 中危 低危 总数 !$$%$$(012345+,67 低危 2.1% 中危 41.5% 超危 16.4% 高危 40.0% j"*+K-./) «+?++h$%»… ÀÃÕøúzÉUWœbuv5$%_©—XU“”11"=™UÆ‘’uv÷E\RS[|$%U4ÿ_©++"*™\1?">™Uxç*ô¥kRS[|$%K⁄ÊϤzqwxyz$%]ÚU ‹ö›fiflFq$%5ÿUÆÃRS‡·ABq À‚„‰„ÂÊkÁËÈÍÎÏÌÓ[|Ô$%_©ø©Çh‚ÚôûXUÛÙ[|\ıˆR$%‚˜¯˘˙KLqMNk !8$%$$(+,9:;<67 工控设数据库 智能终端浏览器 1.1% 云计算 5.4% 4.2% 2.3% 备 2.2% 操作系统 10.3% 网络设备 10.5% Web应用41.6% 应用软件 22.3% «+?++h$%»…,fh45øúzÉUxç1ô¥U›fi˚Fq$%ö¸˝˛ˇÊ\!"#ã\$%&NVU4ÿ_©11"=™U1*"*™T6"?™k(VI)*+µ,-./µ01Å213‚¨ÂÊU(VI) *+’45678I)9*+qI)(VÅ2:9]~:U;<yzq=>?4@¶”AQ(VU/ËB ;<Å2:Có\EqFAÅ29FAGHIúk,-./T01Å213’45,--28rJU9 ë01Å2[K*+U;<LM,fhë/éNÏOPI)QR9ë01Å2[KU“”STUVWXUY ZFAsE9ë,-û¡q[qk !=$%$$(+,>K@A67 跨站请求伪造 2.7%其他 20.5% 路径遍历 2.7% 代码问题 3.8% 命令注入 3.8% 代码注入 缓冲区错误 14.6% 信息泄露 5.7% 跨站脚本 13.3% SQL注入8.0% 输入验证错误 4.1% 拒绝服务 4.4% 资源管理错误 4.5% 权限许可和访问控制问题 5.9% 5.9% \h‰U.á]^_Ï`v]abc‰CóÆdÚqùefg\:MT]^shUéiuÃ]ahjkqlmknojópqprstq]a,fhuUvwrstq`aUxyz[|E¶E]\ıˆR[|\Û ÙuvM~\R"\]KžeUŬüuÇÉÑ[Ök+?++hUÜÃõT`aRS6q,fhød¿áàUâ~Ã+?++h$%ïRS,fhøúqèêUäãåÊd>@çé j.CDE+,>KFGHCDEIJKLMNOP è+?+?hêed$ëíìîWjñóòüuÇ,fhé‰U+?+1h˜¯RS‡·rwABôöq&ëõ1j$%ùûû‰üU+?++hÊdp5†q;7$%$pîjñõ1$¢œííUüuÇ$%K‹öRS‡·q£§•¶ßdk® ©lE\ž™£_bcqw¨euvUéïBƒÃlEGHqØπ±ßU;<üuÇ,fhød¿‹ØU¨e¥wUµ1ráh†UCvzA÷EøúüuÇ,fhq]Ú8ƒº¡küuÇ,fhöæø8’¿AÜÓ7¡”lE¬EUøúr£Ùq,fhU,fhëBqöüuÇûüèKqlEƒ[Ø£ÙNV2q$%kQiU2dGüuÇ,fh«rሓU‚«Úráq«·Ã»¡…ù l,fhU±¶æ«rXk $.QRKL>KSTUFVWXYZ[X ÀÃ÷E,fhB’+?++hdhØ—ÕZ[æqŒœ–—UÀÃ÷E,fh“˘˙¬”‘ö’“’‹ã\X ÷±”q,fhfigU“ÀÃ÷EŸe”_,fhfig‚jdÊÚ¬”\ÁËhq()kiQU®©_Ï⁄RøúÀÃ÷ET“¤TT‹WX”›fiq&áUéïÜÃfl‡·‚„‰7\ÂWÊhGÁÎËÈÓÔ_2kÀà ,fhqÊdUÀÃ÷E,fh¨eød¿¥wk 8.>K\F]%^_`+,abWcHdefghi0j …ùPRqAB$%]Ú8ƒ&áUŬó儉„h†k45PRÍÎ;78ÏU,fhëÌvAB$%q,fhúöóãáÓUÔÆG£èÙhqÄÕUqÒ«·PérX÷\ˆ“qfigÃPR$%øúÚÛTÙıUCå…ùuˆrö;7qAB•¶T˜ÇkW«U,fhëød¿áw–˚q˘˙Uq,fh˚|¸˝ ˛ˇráq«·T!˙‰"#?óì$$%UµÌv2qbc«,fh¥ ”rstqRS%&U'(áwp …ùuvGÎq)äk =.klmnYopVWqr)stuDvwxy>K *+,-T‹ÄÁËrq‹ö2dGZ[.ıTÀuÄÕq/0bcU¢£RSAB12&3pÙ0,-TèÙ4u8ƒóhqRSZ[qË˙k56Ud>,fhë‚qCv*+,-T‹ÄÁˉ&3RS,fhË˙U7ABG9yzUµé˚ô:Úqºäed2q$%U˜e;7q;<kIx˘˙/éÌv*+ ,-T‹ÄÁËrfi=qpCRS>?z[|E\øú@HAB\NÏRSAB[|\ÙıRS$%\£ ‹zAM~\øúCÏDE_k +?++hFUÌpœñCÏefp‹ÄÁËGH*+‹I¢ìĘKLÓUI¢ìĘKLÓMøN]OUABPQ‹RS ÌvGH*+‹I¢ìĘKLÓU£‹pËTUzAVW\XZYZqRS>?|Ekq[»˘˙ç\7URS,fhë ¥x]CvI¢ìĘKLÓpC2q^_kI¢ìĘKLÓ_‹ÄÁËÄÕé©‹5˘˙rªqºä2qÊ2q\`aÁËqZ[k z.M[|]~flÄUÅÇÉÑUÖHM[ÜáàâUÅäã 45…ùbˆRhøMq8ƒcVU„‰„áqùe“dÛ”bˆR7UwÚquv]~“6£\¤(\ ]l\KekµiW«U2dGuv_ÏWœb\f>\Cpp\CLÏ\gWhM~_áoùeij@VU; <uvkl•¶TÇ®mÅ)äáwUõ5óháÍqnã,fh\o˙pB\qr,fh\CLÏ@lsvU ‚;<…ù]~tu•¶áàk+?++hU]~tu–EKL&áUvfrwUõOwxT…ùyÊráqGz‰øú[hU˜Çq‹ã8N-5–EÀu‹ã\]~|P‹ã\yz¡Y‹ãU|xy]~˜Ç ‹ã\¶Ä•¶‹ã_ˆæ‹ãk]~tuq£§™QE5Ìv$%,fh\RS>?TÀÃ÷Ek +?++hOPe£á¯;7]~tu–EUIxé+?++h+ÅU=]^+"1Ç®ÉÑ]~“¤TÖ+?++ h=ÅU=Üá÷E]~ãtuU3Ç]~“¶àâÖ+?++h3ÅU7ä=*ã]~ãtu1?Ç]å]~k]~ABuˆrwlmk å.çéèêAKL+,ëí*F 2çé]q'è ÀU˙è7UÙpBƒ¨ePLMê]qëïk¤zí»ê]qRSìîƒïfñU_ÏóLË\‚„hòu9ê]÷E@V…ùPRUsEKe\RSuv\íôBDTöX÷Eö…ùU‰põwqABˆúkLMê]&áqRSouuù˘˙,fhU‰p=ÌUê]÷E$%Ìv\zAM~\RS>?\:⁄û,qvü9[|01T:†°¢qyz’LMê]uÃq£§,fh£ÚULMê]5÷E$%§ä&ákLMê]q—wø8’@VyzT‹Rı•%&q8J¶ækQiULMê]ôßïq …ùùeyzou\RÄLM01qOP•ÿ\ùe01®vwx\RÄÈÍ[|qABGÎ_13Uà ]^qABGÎË˙e¯põwqlmk &.ìîeïñóôöõeú~ùûü† ®©ıˆR[|q©&U™£+?++hÚÊÏ1??ÇT¨flqıˆR[|ká]ıˆR[|ÆÚØáq _•Ë˙TAB±ËUãOdq;7qAB13Uxr@H\Ãm•yzql¥01\µ‘m•E~9r ABKUqìÃ∏»pwÚfiP,fhqRSVl8kCvµ‘E)‰pBıˆR[|’˘˙Cvq£§ ,fhfigk˘˙,fhıˆR[|qvª£§4ö黺Tfi£éÅ2@æ£*Ã[øIú¿¿ë$,fh\xö¡¬ÃPRøú,fh\_ÏRS[|Ã:ÚøúKK\_σÅ[|STT‹ˆ¡WX_k’5ıˆR@æRS/é¤T*@]~UxÓëîîj@æRSU«wá]@æRS»v5¿¿ë$,fhUıˆR[|B’@æRSq£§V/k #"#$应用漏洞 *"j0&$%() ÜÃWœbuvq,fh…5’bˆRq£§Z[‰EßdUbˆR«GUráq:ÚVlTrfi vqfigqûXuvle÷±qW«‚U‰prh†qAB13k+?++h2EF$%§•ã¶ßWœbuv$ %1?166®U¨+?+1hÎ;1?*®Ô&'1>"+™ké+?+1hT+?++hÀÅWœbuv$%óh( )xç>ô¥é !z$%$j°$%$$(¢£§Dv)*+,./ 1400 1200 1000 800 600 400 200 0 1月2月3月4月5月6月7月8月9月10月11月12月 2021年 2022年 *"*$%fl2 ˘˙ëÃBÌvWœbuv$%ÃRSøúÕŒUé“”Å2e+\øVPR\STwÚÚzœWXq[qk/é–Ê+?++hWœbuv$%£§—Øq!"#ã\NV\,-./T01Å213Fo5kU _~B?$%5kq=="=™k!"#ãµNV’Wœbuv—p”q$%UÌv!"#ã$%U˘˙/éÃPœvüøúIëë‘jœ¤T\B’KK\>?÷˙_õo,fhÖÌvNV$%U˘˙/ˤT\rC\ÿƒvü]~U9ëIúyz⁄¤_Uéïød¿;<R"“‹VzAGH\“›V;fiM~_±œk 输入验证错误路径遍历其他 4.2% 4.0% 3.1% 跨站请求伪造 5.2% 信息泄露 5.5% 跨站脚本攻击 25.6% !å$%$$(¢£§Dv+,A•67 资源管理 错误 5.6% 代码问题 权限许可和访问控制问题 注入 24.9% 5.8% 16.1% *"345$%67 ¶j$%$$(¢£§Dvß®+, )*+ƒ -./0 12334!5fl "#$c&'()*'#'+c'fi-./012345678(9:;<=<<;<>3@=A <=<<B=>B>C D.@