2022年补天漏洞响应平台年度分析报告

2022年补天漏洞响应平台 年度分析报告 2023年2月21日 摘要 2022年全年，补天漏洞响应平台共收录白帽子报告的全国各类网站安全漏洞约16.8万个，较2021年的14.6万个增长约15.0%；漏洞共涉及网站约9.0万个，较2021年的 11.5万个，减少了约21.7%。 从行业分布来看，2022年，补天平台收录的IT信息技术类网站漏洞数量最多，共有32088个，占比约为19.1%；其次是制造业网站，共收录漏洞15456个，占比约为9.2%；生活服务类网站排名第三，共收录漏洞12264个，占比约为7.3%。 2022年全年，补天平台收录网站漏洞数量最多的十个省级行政区，相关漏洞占到了漏洞收录总量的74.6%。其中，IP地址在广东省的网站漏洞最多，占比为14.8%，其次为北京市，占比10.8%。 从漏洞的风险等级来看，在补天平台2022年全年收录网站安全漏洞中，高危漏洞4.7万个，占比约为28.1%；中危漏洞9.2万个，占比约为54.8%；低危漏洞2.9万个，占比约为17.1%。 从技术类型来看，补天平台2022年全年收录的网站漏洞中，SQL注入漏洞最多，占比约为31.8%；其次是信息泄露类漏洞，占比约为23.1%；配置错误排第三，占比约为17.1%。 2022年，补天平台收录漏洞的平均确认率约为97.2%，未确认率为2.8%。从已注册厂商确认的漏洞修复情况来看，2022年，补天平台收录的漏洞修复率可达69.8%。 目录 第一章漏洞收录情况综述1 一、漏洞收录数量1 二、漏洞行业分布2 三、漏洞地域分布2 第二章网站漏洞特征分析3 一、网站漏洞等级3 二、网站漏洞类型3 三、网站漏洞修复4 第三章年度白帽子评选结果5 一、最具价值奖5 二、璀璨萌新奖6 三、最具公益能量奖6 四、最具贡献精神奖6 附录补天漏洞响应平台7 第一章漏洞收录情况综述 一、漏洞收录数量 2022年全年，补天漏洞响应平台（以下简称：补天平台）共收录白帽子报告的全国各类 网站安全漏洞约16.8万个，较2021年的14.6万个增长约15.0%；漏洞共涉及网站约9.0万个，较2021年的11.5万个，减少了约21.7%。 下图给出了2019年以来，补天平台每年收录网站漏洞的情况对比。总体来看，补天平台每年收录网站漏洞的数量持续高速增长，这与国内机构日益重视、白帽子群体不断扩大、挖洞水平日益提升等多种因素有关。同时，优质白帽资源也正在不断的向那些愿意投入资源做好SRC的企业集中，这是导致挖洞数量增长，漏洞涉及网站数量却不升反降的重要原因。 下图给出了2022年补天平台每月收录漏洞数量的情况。受新年和疫情等因素影响，第 一季度收录漏洞数量相对较少，月均3000个左右。12月收录的漏洞数量最多，近3.4万条。 二、漏洞行业分布 从行业分布来看，2022年，补天平台收录的IT信息技术类网站漏洞数量最多，共有32088个，占比约为19.1%；其次是制造业网站，共收录漏洞15456个，占比约为9.2%；生活服务类网站排名第三，共收录漏洞12264个，占比约为7.3%。此外，工程建筑、教育培训、互联网、医疗卫生、文化传媒、快递物流、交通运输等行业网站，被报告的漏洞数量也相对较多，排入TOP10，详见下图。 三、漏洞地域分布 本报告中，对网站漏洞进行地域划分的主要依据是通过网站IP地址查询其网站服务器归属地，这可能与网站实际运营机构的行政归属地存在一定的差异。2022年全年，补天平台收录网站漏洞数量最多的十个省级行政区，相关漏洞占到了漏洞收录总量的74.6%。其中，IP地址在广东省的网站漏洞最多，占比为14.8%，其次为北京市，占比10.8%。具体如下图所示。 第二章网站漏洞特征分析 本章主要从漏洞等级和类型分布来分析网站安全漏洞形势。 一、网站漏洞等级 从漏洞的风险等级来看，在补天平台2022年全年收录网站安全漏洞中，高危漏洞4.7万个，占比约为28.1%；中危漏洞9.2万个，占比约为54.8%；低危漏洞2.9万个，占比约为17.1%。详见下图。 二、网站漏洞类型 从技术类型来看，补天平台2022年全年收录的网站漏洞中，SQL注入漏洞最多，占比约为31.8%；其次是信息泄露类漏洞，占比约为23.1%；配置错误排第三，占比约为17.1%。此外，弱口令、代码执行、文件上传等漏洞也比较常见。具体漏洞类型分布请见下图： 三、网站漏洞修复 漏洞本身是无法完全避免的，被发现存在安全漏洞也并不可怕，关键是要进行及时的修复。检测显示，2022年，补天平台收录漏洞的平均确认率约为97.2%，未确认率为2.8%。从已注册厂商确认的漏洞修复情况来看，2022年，补天平台收录的漏洞修复率可达 69.8%。这表明，目前国内绝大多数网站都能够及时确认安全漏洞，但修复情况还有待提高。 第三章年度白帽子评选结果 2022年11月3日，第六届补天白帽大会在上海召开。来自政府、厂商、研究机构的重磅嘉宾和顶尖白帽汇聚一堂，围绕培养实战化网络安全人才、构建多元化人才培养体系进行了深入探讨，并分享了先进白帽技术在实战场景中的应用。 本次大会共向12位白帽子颁发了四个“年度白帽子”大奖，分别是：最具价值奖、璀璨萌新奖、最具公益能量奖和最具贡献精神奖。本次颁奖，不仅考虑了白帽子提交漏洞的质量和重要程度，还综合考虑了社会公益、个人发展、企业贡献等多方面因素。 一、最具价值奖 奖项说明：高危漏洞一直以来都是网络安全应用中的“超能量武器”，很容易被病毒、木马侵入，导致软件崩溃或者重要信息、密码等被盗取等。近年来“永恒之蓝”、“ApacheLog4j”等高危漏洞影响极大，Log4j一度导致90%以上基于java开发的应用平台受到影响。最具价值奖，主要是用于表彰那些在过去一年中，通过补天众测平台，报告大量高价值高危安全漏洞的白帽子。 获奖名单：balisong、行者、wperl 获奖原因：他们是在2022年位居补天众测平台榜单前三的白帽子，是在2022年通过补天众测平台，报告高危安全漏洞数量最多、质量最高的三位白帽子。特别的，他们还是能够在面对重大危机时力挽狂澜、临危不惧、一人定局的“英雄白帽”。 二、璀璨萌新奖 奖项说明：补天平台一直致力于培养新兴白帽子力量，目前平台注册白帽专家已超十万人。璀璨萌新奖，主要用于表彰那些在过去一年中，成长迅速，成绩卓越的年轻白帽子新人。 获奖名单：鱼籽、piglet、fireahck 获奖原因：2022年，他们业精于勤、好学不倦，积极申请和参与项目，并在很多项目中，对于大量漏洞的发现起到了至关重要的作用。他们用最严谨的态度击溃了每一个难题，不断积累实战经验提升自己，是补天众测最璀璨的萌新白帽。 三、最具公益能量奖 奖项说明：补天平台作为全球三大漏洞平台之一，已拥有10年的漏洞平台运营经验，一直以来都在为行业及客户提供补天公益SRC解决方案，其中少不了极具公益精神的白帽子的支持。最具公益能量奖，主要用于表彰那些在过去一年中，义务服务大量企业，积极分享技术经验，公益能量满满的白帽子。 获奖名单：小但、pIaNo09、Yzl 获奖原因：2022年，三位白帽子不仅在补天公益平台中提供的有效漏洞奖金榜单上位居前三，同时还在一年内，累计维护近万家厂商的网络安全，覆盖企业最广。此外，他们还积极分享自己的技术经验，帮助众多白帽子提升安全技能，公益能量满满。 四、最具贡献精神奖 奖项说明：补天平台作为全国顶尖漏洞响应平台，一直以来都在不断完善白帽人才与企业间的桥梁，维护企业网络安全，解决数据泄露隐患，培养网络安全人才。最具贡献精神奖，主要用于表彰那些为政企机构网络安全建设做出突出贡献的白帽子。 获奖名单：Broken_5、Boker、catw0rld 获奖原因：2022年，他们成为入驻企业SRC发现有效漏洞奖金榜单的前三名。他们不仅发现了数百个高价值漏洞，同时，不论白天还是黑夜，他们总能在厂商每次新增资产的同时快速响应，及时发现漏洞，为企业安全保驾护航！ 附录补天漏洞响应平台 补天漏洞响应平台（https://www.butian.net），成立于2013年3月，是国内专注于漏洞响应的第三方平台。补天平台通过充分引导民间白帽力量，实现实时的、高效的漏洞报告与响应。 成立10年来，补天平台已经成为全中国影响力最大的漏洞响应平台之一，同时也是最活跃的网络安全从业者交流平台之一。通过奇安信攻防社区、补天白帽大会、“补天杯”破解大赛、补天城市沙龙、补天校园行，搭建安全从业者开放、分享、成长的平台，把国内外网络安全专家、业界大咖、安全厂商、研究机构聚集到一起，将多种形式结合建立网络安全从业者技术生态。同时在实战化的趋势下，人是支撑安全业务的最重要因素，补天平台也成为汇聚海量实战型网络安全人才的资源池。通过提供真实的训练环境，开放实战工具箱和资源，定制专属课程、顶级黑客进行技术教学，依托长期积累，利用独有的技术人才优势，培养出具有顶级技术的网络安全实战型人才，为行业提供强有力的人才保障，提升支撑安全业务的各项能力，应对新形势下的网络安全挑战。 2021年12月16日，由北京冬奥组委技术部组织，补天漏洞响应平台提供技术平台和运营支持的“冬奥网络安全卫士”招募启动，这是奥运史上首次以公开招募白帽子协助网络安全信息系统排查短板、挖掘相关漏洞以及收集网络安全情报信息等工作，经过层层选拔的冬奥网络安全卫士24小时在线，发起超过2000万次测试请求，测试总时长超过1万小时，成功发现了大量有效系统漏洞和冬奥相关威胁情报，为保障冬奥会网络安全发挥了巨大作用。对此，中央网信办冬奥会网络安全专家研判组组长、中国工程院院士方滨兴给予了高度肯定——“白帽子作为冬奥网络安全卫士的突出表现，也证明了白帽子群体是可信任的、可管理的，同时更是有能力的、有水平的。” 面对复杂多变的网络安全态势和层出不穷的攻击手段，补天平台采用SRC、众测等方式服务广大企业，以安全众包的形式让白帽子从模拟攻击者的角度发现问题，解决问题，帮助企业树立动态、综合的防护理念，守护企业网络安全。补天平台将多种安全服务有机的整合起来，进一步提升企业的漏洞响应能力、积极防御能力和常态化安全运营能力。 截止2022年12月，平台注册白帽子已达106000余名，累计为33万多家企业报告的漏 洞超过110万个。补天漏洞响应平台先后被公安部、国家信息安全漏洞共享平台（CNVD）、国家信息安全漏洞库（CNNVD）分别评定为技术支持先进单位、漏洞信息报送突出贡献单位和一级技术支撑单位。 网聚安全力量，为社会提供准确、详实的漏洞情报，实现漏洞的及时发现与快速响应是补天平台始终坚持并不断履行的社会使命。通过营造实战化的学习环境、建设协同育人的导师制度、构建技能衔接的知识体系培养的实战化人才为企业网络安全贡献力量，为国家安全保驾护航。