阅读: 8

本报告数据来源于国内用户数据的抽样调查,仅供读者参考。

一. Web攻击态势

1.1 Web攻击统计

通过抽样分析国内部分用户WAF日志,统计各类web攻击数量如下表:

攻击类型 攻击次数
SQL注入攻击 42,042,770
跨站脚本攻击 11,087,063
路径穿越攻击 9,780,965
Web插件漏洞攻击 9,598,551
命令注入攻击 7,693,440
远程文件包含 7,641,684
Web服务器漏洞攻击 7,217,595
非法下载 6,219,000
XPath注入攻击 5,287,081
恶意扫描 1,561,930

各类型web攻击占比情况如下:

1.2 Web漏洞利用

攻击针对的Web服务器/插件Top10:

序号 攻击针对的Web服务器/插件Top10
1 DedeCMS eval函数代码注入漏洞
2 Struts远程代码执行漏洞
3 Apache Tomcat UTF-8目录遍历漏洞
4 nginx文件路径处理远程命令执行漏洞
5 Apache Tomcat mod_jk Content-Length头信息泄露漏洞
6 DedeCMS base64解码函数代码注入漏洞
7 Struts2 Jakarta远程代码执行漏洞
8 Struts REST插件远程代码执行漏洞
9 Microsoft IIS重复参数请求拒绝服务漏洞(MS10-065)
10 Struts action远程代码执行漏洞

攻击针对的Web服务器漏洞Top10:

序号 漏洞名称
1 Apache Tomcat UTF-8目录遍历漏洞
2 nginx文件路径处理远程命令执行漏洞
3 Apache Tomcat mod_jk Content-Length头信息泄露漏洞
4 Microsoft IIS重复参数请求拒绝服务漏洞(MS10-065)
5 Apache HTTP Server畸形Range和Range-Request选项处理远程拒绝服务漏洞
6 Microsoft IIS 4.0/5.0 Unicode解码错误可远程执行命令漏洞(MS00-078)
7 Microsoft IIS文件枚举漏洞
8 nginx 不正确处理URI导致目录遍历漏洞
9 Microsoft IIS 3.0 “%2e” ASP源码泄露漏洞
10 nginx WebDAV目录遍历漏洞

攻击针对的Web插件漏洞Top10:

序号 漏洞名称
1 DedeCMS eval函数代码注入漏洞
2 Struts远程代码执行漏洞
3 DedeCMS base64解码函数代码注入漏洞
4 Struts2 Jakarta远程代码执行漏洞
5 Struts REST插件远程代码执行漏洞
6 Struts action远程代码执行漏洞
7 Struts2开发模式
8 DedeCMS PHP全局变量$_POST覆盖漏洞
9 phpMyAdmin exec函数代码注入漏洞
10 phpMyAdmin system()函数代码注入漏洞

二、漏洞态势

2.1 现网漏洞

通过抽样调查国内站点漏洞数据发现,存在的高中危漏洞TOP10分别是:

高危漏洞TOP10:

漏洞名称 数量
检测到目标URL存在跨站漏洞 30267
检测到目标URL存在基于DOM的跨站脚本漏洞 9490
检测到目标URL存在宽字节跨站漏洞 6239
检测到目标URL存在框架注入漏洞 5430
检测到目标URL存在链接注入漏洞 3517
检测到目标URL存在SQL注入漏洞 1952
ThinkPHP 5.x request.php存在变量覆盖导致远程代码执行漏洞 1733
检测到目标URL存在COOKIE注入漏洞 1151
检测到目标服务器存在允许PUT文件上传目录 894
ThinkPHP 5.0.x 5.1.x 未过滤控制器导致远程代码执行漏洞 613

中危漏洞TOP10:

漏洞名称 数量
检测到目标站点存在javascript框架库漏洞 8936
nginx 安全漏洞(CVE-2018-16845) 1383
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 1112
检测到目标URL存在http host头攻击漏洞 1000
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】 990
检测到目标网站源代码泄露 898
PHP 拒绝服务安全漏洞(CVE-2018-19396) 685
SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】 640
PHP 安全漏洞(CVE-2018-14851) 632
PHP 堆缓冲区溢出安全漏洞(CVE-2018-14883) 631

三、DDoS攻击态势

2019年1月1日到2019年6月31日,监测发现国内部分用户DDoS攻击情况统计如下:

本地流量清洗服务 详情
DDoS攻击检测数 6045
单次最大攻击流量攻击类型及攻击流量峰值 SYN FLOOD:119.2Gbps
最长持续时间及攻击类型 SYN FLOOD:1小时31分2秒
最大总攻击流量及攻击类型 SYN Flood: 7371.5Gbytes

攻击类型分布:

攻击类型 频次 各类型攻击总攻击流量(Gbytes) 总攻击流量占比
SYN Flood 592 27308.09 85.26%
ACK FLOOD 1169 3218.206 10.05%
SSDP REFLECTION FLOOD 2 613.63 1.92%
UDP Flood 513 313.614 0.98%
Memcache 反射攻击 1 127.09 0.40%
Conn Flood 1869 112.5273 0.35%
NTP REFLECTION FLOOD 3 303.92 0.95%
Other 9 32.04 0.10%
FIN/RST Flood 1 0.039 0.00%
Stream Flood 134 0.38 0.00%

攻击时长分布:

时长分布 0-5 min 5-10 min 10-30 min 30-60 min 1-3h 3-6h 6-12h 12-24h 24h+
攻击次数 2759 523 555 172 137 75 33 31 12

四、安全事件态势

4.1 安全事件

通过抽样调查统计国内部分用户数据,各类安全事件统计如下:

事件类型 事件量
网页篡改 715
关键字 249
挖矿 239
蠕虫 112
网页挂马 133
入侵 53
勒索软件 35
恶意程序通讯 40
病毒通信 19
其他 19
僵尸网络 9
木马 10
漏洞攻击 10
流量异常 8
钓鱼 7
webshell后门访问 6
拒绝服务 4
样本分析 4
漏洞验证 2
攻击溯源 1
攻击验证 1
漏洞利用 1

各类安全事件占比:

注:本报告数据来源于国内用户数据的抽样调查,仅供读者参考。