2019上半年网络安全观察(2019.01.01-2019.06.30)

本报告数据来源于国内用户数据的抽样调查,仅供读者参考。

一. Web攻击态势

1.1 Web攻击统计

通过抽样分析国内部分用户WAF日志,统计各类web攻击数量如下表:

攻击类型攻击次数
SQL注入攻击42,042,770
跨站脚本攻击11,087,063
路径穿越攻击9,780,965
Web插件漏洞攻击9,598,551
命令注入攻击7,693,440
远程文件包含7,641,684
Web服务器漏洞攻击7,217,595
非法下载6,219,000
XPath注入攻击5,287,081
恶意扫描1,561,930

 

各类型web攻击占比情况如下:

1.2 Web漏洞利用

攻击针对的Web服务器/插件Top10:

序号攻击针对的Web服务器/插件Top10
1DedeCMS eval函数代码注入漏洞
2Struts远程代码执行漏洞
3Apache Tomcat UTF-8目录遍历漏洞
4nginx文件路径处理远程命令执行漏洞
5Apache Tomcat mod_jk Content-Length头信息泄露漏洞
6DedeCMS base64解码函数代码注入漏洞
7Struts2 Jakarta远程代码执行漏洞
8Struts REST插件远程代码执行漏洞
9Microsoft IIS重复参数请求拒绝服务漏洞(MS10-065)
10Struts action远程代码执行漏洞

攻击针对的Web服务器漏洞Top10:

序号漏洞名称
1Apache Tomcat UTF-8目录遍历漏洞
2nginx文件路径处理远程命令执行漏洞
3Apache Tomcat mod_jk Content-Length头信息泄露漏洞
4Microsoft IIS重复参数请求拒绝服务漏洞(MS10-065)
5Apache HTTP Server畸形Range和Range-Request选项处理远程拒绝服务漏洞
6Microsoft IIS 4.0/5.0 Unicode解码错误可远程执行命令漏洞(MS00-078)
7Microsoft IIS文件枚举漏洞
8nginx 不正确处理URI导致目录遍历漏洞
9Microsoft IIS 3.0 “%2e” ASP源码泄露漏洞
10nginx WebDAV目录遍历漏洞

 

攻击针对的Web插件漏洞Top10:

序号漏洞名称
1DedeCMS eval函数代码注入漏洞
2Struts远程代码执行漏洞
3DedeCMS base64解码函数代码注入漏洞
4Struts2 Jakarta远程代码执行漏洞
5Struts REST插件远程代码执行漏洞
6Struts action远程代码执行漏洞
7Struts2开发模式
8DedeCMS PHP全局变量$_POST覆盖漏洞
9phpMyAdmin exec函数代码注入漏洞
10phpMyAdmin system()函数代码注入漏洞

 

二、漏洞态势

2.1 现网漏洞

通过抽样调查国内站点漏洞数据发现,存在的高中危漏洞TOP10分别是:

高危漏洞TOP10:

漏洞名称数量
检测到目标URL存在跨站漏洞30267
检测到目标URL存在基于DOM的跨站脚本漏洞9490
检测到目标URL存在宽字节跨站漏洞6239
检测到目标URL存在框架注入漏洞5430
检测到目标URL存在链接注入漏洞3517
检测到目标URL存在SQL注入漏洞1952
ThinkPHP 5.x request.php存在变量覆盖导致远程代码执行漏洞1733
检测到目标URL存在COOKIE注入漏洞1151
检测到目标服务器存在允许PUT文件上传目录894
ThinkPHP 5.0.x 5.1.x 未过滤控制器导致远程代码执行漏洞613

中危漏洞TOP10:

漏洞名称数量
检测到目标站点存在javascript框架库漏洞8936
nginx 安全漏洞(CVE-2018-16845)1383
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】1112
检测到目标URL存在http host头攻击漏洞1000
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】990
检测到目标网站源代码泄露898
PHP 拒绝服务安全漏洞(CVE-2018-19396)685
SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】640
PHP 安全漏洞(CVE-2018-14851)632
PHP 堆缓冲区溢出安全漏洞(CVE-2018-14883)631

 

三、DDoS攻击态势

2019年1月1日到2019年6月31日,监测发现国内部分用户DDoS攻击情况统计如下:

本地流量清洗服务详情
DDoS攻击检测数6045
单次最大攻击流量攻击类型及攻击流量峰值SYN FLOOD:119.2Gbps
最长持续时间及攻击类型SYN FLOOD:1小时31分2秒
最大总攻击流量及攻击类型SYN Flood: 7371.5Gbytes

 

攻击类型分布:

攻击类型频次各类型攻击总攻击流量(Gbytes)总攻击流量占比
SYN Flood59227308.0985.26%
ACK FLOOD11693218.20610.05%
SSDP REFLECTION FLOOD2613.631.92%
UDP Flood513313.6140.98%
Memcache 反射攻击1127.090.40%
Conn Flood1869112.52730.35%
NTP REFLECTION FLOOD3303.920.95%
Other932.040.10%
FIN/RST Flood10.0390.00%
Stream Flood1340.380.00%

 

攻击时长分布:

时长分布0-5 min5-10 min10-30 min30-60 min1-3h3-6h6-12h12-24h24h+
攻击次数275952355517213775333112

四、安全事件态势

4.1 安全事件

通过抽样调查统计国内部分用户数据,各类安全事件统计如下:

事件类型事件量
网页篡改715
关键字249
挖矿239
蠕虫112
网页挂马133
入侵53
勒索软件35
恶意程序通讯40
病毒通信19
其他19
僵尸网络9
木马10
漏洞攻击10
流量异常8
钓鱼7
webshell后门访问6
拒绝服务4
样本分析4
漏洞验证2
攻击溯源1
攻击验证1
漏洞利用1

 

各类安全事件占比:

注:本报告数据来源于国内用户数据的抽样调查,仅供读者参考。

Spread the word. Share this post!

Meet The Author

Leave Comment