2016年度Web漏洞统计之Exploit-db

标签: WEB安全 专题 漏洞 exploit-db 大数据分析 | 发表时间:2017-01-23 04:00 | 作者:youyou0635
分享到:
出处:http://www.freebuf.com

2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析。

众所周知的 https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况。

打开 https://www.exploit-db.com/webapps后发现Web Application Exploits是一行行的漏洞列表。

无标题.png

每个漏洞都占有一行,显示漏洞的Date、Title、Platform、Author,可以点击Title查看详细的漏洞。

无标题.png

在查看了多个漏洞页面后可以看出,每个漏洞的页面可以由编号来区分的,而且编号是增量的。

无标题.png

无标题.png

于是,针对web漏洞的“大数据”分析思路如下:

1.编写python爬虫,把2016年的web漏洞进行数据爬取(目前来说网页爬虫主流一直是python,开发效率高,代码编写简单)

2.将python爬虫爬取的数据输出到excle

3.使用excle进行二次数据梳理,统计漏洞排行、开发语言、漏洞数量

4.图表展示,使用office任何工具均可

中间过程省略,文章末尾会发放python爬虫的部分代码。

以下便是2016年度根据 https://www.exploit-db.com的数据统一出全球黑客的web漏洞“大数据”分析。

0X001各漏洞占有率

无标题.png

看来还是SQL注入漏洞最多,CSRF、CSS分别列第二、第三位。

0X002各漏洞对应的开发语言

无标题.png

还是开源的PHP问题最多,ASPX、Python的最少。

0X003每个月度的漏洞数量分布

无标题.png

2016年6月、10月漏洞提交数量最多,是因为黑客们放假在家无聊吗?

0X004世界黑客漏洞提交排行Top10

无标题.png

2016年度提交web漏洞的黑客有235人,其中有几位是中国人,以上是漏洞提交的黑客前10名,第11名与第10名并列。

0X005结尾

在文章结尾发放python爬虫源码:

    

#-*-coding:utf-8-*-

#爬取ebay网站页面,设置个数,并保存源码文件

#适用于URL后面有固定字符+数字的网站

import urllib 

import urllib2 

def getPage(url):    

   request = urllib2.Request(url) 

   response = urllib2.urlopen(request) 

   return response.read()     

url='http://www.ebay.com/sch/TShirts-/15687/i.html?Style=Basic%2520Tee&_dcat=15687&Color=Black' 

p=0 

#设置爬取的页面个数为5个

while p<5: 

   print ' =='+str(p+1)+'==start==' 

   result=getPage(url+'&_pgn='+str(p+1)) 

   txt='D:\\result'+str(p+1)+'.html' 

    f= open(txt,"w+") 

   f.write(result) 

   print ' =='+str(p+1)+'====end==' 

   p=p+1 

f.close()

另外,数据整理可以有很多方法,给各位读者留下一个小作业,如何在爬取数据后如何进行数据整理。

文章就到这里,各位再见!2017年到了,祝各位新年快乐!

*本文作者:youyou0635,转载请注明来自FreeBuf.COM

相关 [web 统计 exploit] 推荐:

2016年度Web漏洞统计之Exploit-db

- - FreeBuf.COM | 关注黑客与极客
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析. 众所周知的 https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况.

《To Succeed In Free-To-Play, ‘Exploit Human Weaknesses’》:剝削人性弱點的「七原罪」,邁向免費遊戲成功之路

- ysorigin - 猴子靈藥 [Monkey Potion]
圖片來源:playbbg.com. 原文出處:GDC Europe: To Succeed In Free-To-Play, ‘Exploit Human Weaknesses’. 在前些日子舉行的 GDC Europe(歐洲遊戲開發者研討會)中,一位名為 Teut Weidemann 的遊戲設計者,提出了一則非常具有實質意義——也百分之百引起爭議論戰——的遊戲設計見解.

Web未死

- Sinan - GeekPark 捕风捉影
App的极限已经浮现,而Web则是突破此极限,推动下一个数字时代革命的起点. 距离美国《连线》杂志发表《Web已死,互联网永生》这篇文章还不到一年的时间,业界为Web平反的声音渐起. 2010年1月,苹果发布iPad,紧随其后在6月又发布了iPhone4. 没有人质疑过苹果的iTunes+App的商业模式,App可谓如日中天.

web的演变

- 酿泉 - 前端观察
这是一个基于GAE的项目,有mgmt design、GOOD、Hyperakt和Vizzuality开发,也有Google chrome团队的参与,记录了浏览器与互联网技术的演变. 不多介绍,直接去看看吧:Evolution Of Web. 值得一提的是,这个项目的代码很不错,值得学习一下.

Web Apps来袭

- - HTML5研究小组
如同历史上任何一次互联网基础标准的变化都会在随后几年中带来应用创新的大爆发一样,当HTML5在2011年逐渐被主流厂商所接受之后,围绕Web Apps领域的创新风暴正山雨欲来. 2012年1月12日,老牌传媒集团《金融时报》(Financial Times,以下简称FT)宣布收购为其开发移动Web App的研发公司Assanka ,这样,FT将不再以外包的形式雇佣Assanka为其打造移动Web App,而可以直接让它在内部进行开发.

Web Service入门

- - 博客 - 伯乐在线
本文来自文章作者 @Jeremy黄国华 的投稿. 伯乐在线也欢迎其他朋友投稿,投稿时记得留下您的新浪微博账号哦~. 目前对Web Service没有统一的定义,定义一:Web Service是自包含的、模块化的应用程序,它可以在Web中被描述、发布、查找以及调用. 定义二:Web Service是基于网络的、分布式的模块化组件,它执行特定的任务,遵守具体的技术规范,这些规范使得Web Service能与其他兼任的组件进行操作.

Google 的 Web Desinger

- - 极客公园-GeekPark
[核心提示]Google 的免费 Web 设计工具虽然现在主要目的是为广告设计,今后会不会成为 Chrome 应用的开发工具. 听到 Google 推出了一个名为 Google Web Designer 的网页设计还有点惊讶. 虽然 Google 是 Web 技术的大力倡导者,毕竟自己严重依赖这个平台,但市面上相关的产品太多了,从专业的开发工具到小白的所见即所得软件数不胜数,还有 Adobe 这个专业玩家.

Chrome 的 Web Intents 会改变 Web 吗?

- hailin - 爱范儿 · Beats of Bits
2011年8月4日,Chrome 团队宣布将支持一个新的技术—— Web Intents. 这个技术未来可能会极大的影响网络应用和浏览器. 什么是 Web Intents. 如果您用过 Android 手机可能就会对这个技术有所了解. Android Intents 可以让两个独立的程序之前通信互相,神奇的是这两个程序中的任何一个程序可能不知道它在和谁通信.

【java_web】web批量分页打印

- - Web前端 - ITeye博客
//把iframe的html挪到div上. <!-- media="print"表示改样式只在打印预览或打印的时候才生效 --> <style media="print" type="text/css">  . <!-- 根据urlList,生成<div> <iframe><iframe/></div> 这样格式的页面-->.