2016年度Web漏洞统计之Exploit-db

标签: WEB安全 专题 漏洞 exploit-db 大数据分析 | 发表时间:2017-01-23 12:00 | 作者:youyou0635
出处:http://www.freebuf.com

2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析。

众所周知的 https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况。

打开 https://www.exploit-db.com/webapps后发现Web Application Exploits是一行行的漏洞列表。

无标题.png

每个漏洞都占有一行,显示漏洞的Date、Title、Platform、Author,可以点击Title查看详细的漏洞。

无标题.png

在查看了多个漏洞页面后可以看出,每个漏洞的页面可以由编号来区分的,而且编号是增量的。

无标题.png

无标题.png

于是,针对web漏洞的“大数据”分析思路如下:

1.编写python爬虫,把2016年的web漏洞进行数据爬取(目前来说网页爬虫主流一直是python,开发效率高,代码编写简单)

2.将python爬虫爬取的数据输出到excle

3.使用excle进行二次数据梳理,统计漏洞排行、开发语言、漏洞数量

4.图表展示,使用office任何工具均可

中间过程省略,文章末尾会发放python爬虫的部分代码。

以下便是2016年度根据 https://www.exploit-db.com的数据统一出全球黑客的web漏洞“大数据”分析。

0X001各漏洞占有率

无标题.png

看来还是SQL注入漏洞最多,CSRF、CSS分别列第二、第三位。

0X002各漏洞对应的开发语言

无标题.png

还是开源的PHP问题最多,ASPX、Python的最少。

0X003每个月度的漏洞数量分布

无标题.png

2016年6月、10月漏洞提交数量最多,是因为黑客们放假在家无聊吗?

0X004世界黑客漏洞提交排行Top10

无标题.png

2016年度提交web漏洞的黑客有235人,其中有几位是中国人,以上是漏洞提交的黑客前10名,第11名与第10名并列。

0X005结尾

在文章结尾发放python爬虫源码:

    

#-*-coding:utf-8-*-

#爬取ebay网站页面,设置个数,并保存源码文件

#适用于URL后面有固定字符+数字的网站

import urllib 

import urllib2 

def getPage(url):    

   request = urllib2.Request(url) 

   response = urllib2.urlopen(request) 

   return response.read()     

url='http://www.ebay.com/sch/TShirts-/15687/i.html?Style=Basic%2520Tee&_dcat=15687&Color=Black' 

p=0 

#设置爬取的页面个数为5个

while p<5: 

   print ' =='+str(p+1)+'==start==' 

   result=getPage(url+'&_pgn='+str(p+1)) 

   txt='D:\\result'+str(p+1)+'.html' 

    f= open(txt,"w+") 

   f.write(result) 

   print ' =='+str(p+1)+'====end==' 

   p=p+1 

f.close()

另外,数据整理可以有很多方法,给各位读者留下一个小作业,如何在爬取数据后如何进行数据整理。

文章就到这里,各位再见!2017年到了,祝各位新年快乐!

*本文作者:youyou0635,转载请注明来自FreeBuf.COM

相关 [web 漏洞 统计] 推荐:

2016年度Web漏洞统计之Exploit-db

- - FreeBuf.COM | 关注黑客与极客
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词,很多个厂家、行业都在热火朝天的做着“大数据”,随着2016年的过去,新的一年到来,让我们也针对web漏洞进行一次“大数据”分析. 众所周知的 https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台,那么我们分析下2016年度web漏洞情况.

预防Web应用程序的漏洞

- - 月光博客
  如今的Web应用程序可能会包含危险的安全缺陷. 这些应用程序的全球化部署使其很容易遭受攻击,这些攻击会发现并恶意探测各种安全漏洞.   Web环境中两个主要的风险在于:注入——也就是SQL 注入,它会让黑客更改发往数据库的查询——以及 跨站脚本攻击(XSS),它们也是最危险的( Category:OWASP_Top_Ten_Project).

Apach警告Web Server发现拒绝服务漏洞

- coofucoo - Solidot
Apache发出警告,Apache HTTPD Web Server中发现拒绝服务漏洞,受影响的版本包括Apache 1.3分支和Apache 2分支的所有版本. Apache表示将在未来48小时内发布补丁. 名叫Apache Killer的攻击工具上周五发布在Full Disclosure邮件列表.

Web开发常见的几个漏洞解决方法

- - 博客园_知识库
本文主要根据本人项目的一些第三方安全测试结果,以及本人针对这些漏洞问题的修复方案,介绍在这方面的一些经验,希望对大家有帮助.   基本上,参加的安全测试(渗透测试)的网站,可能或多或少存在下面几个漏洞:SQL注入漏洞、跨站脚本攻击漏洞、登陆后台管理页面、IIS短文件/文件夹漏洞、系统敏感信息泄露.   1、测试的步骤及内容.

WebPwn3r Web应用程序漏洞扫描程序(附视频)

- - FreeBuf.COM
WebPwn3r是一款Python语言编写的Web应用程序安全漏洞扫描程序,同时支持单对个URL及URL列表的漏洞检测. 1,检测代码执行漏洞 2,检测命令执行漏洞 3,检测典型的XSS漏洞 4,检测WebKnight WAF 5,指纹探测. 视频(以挖掘雅虎一个任意代码执行为例):. 链接: http://pan.baidu.com/s/1gd1ghHL.

Google出品:开源Web App漏洞测试环境 – Firing Range

- - FreeBuf.COM | 关注黑客与极客
Google于周二发布了一个名为Firing Range的安全漏洞测试环境,旨在通过评估Web应用在XSS和其他方面的安全性,提高自动化扫描器的效率. Firing Range是由Google与米兰理工大学的安全研究员合作开发的,目的是为自动化扫描器建造一个“试验场”. Google公司自己也在使用Firing Range,目的“一是帮助我们测试,二是定义尽可能多的漏洞类型,包括一些我们目前尚且不能检测的”.

开源web漏洞扫描系统 – IronWASP 2014版发布

- - FreeBuf.COM
IronWASP是一款开源的Web应用程序漏洞扫描系统,用户可以自定义安全扫描,并且可以自己用python/ruby来定义插件系统,来丰富漏洞测试项目,插件系统的语言版本是IronPython和IronRuby,语法上类似CPython和CRuby. 在2014版本中,加入了众多实用的功能,如下:.

基于Web页面验证码机制漏洞的检测

- - FreeBuf互联网安全新媒体平台
*声明:本篇文章仅供渗透测试参考,严禁用于非法用途. 在当今互联网上,每个用户或多或少都在部分网站上注册过一些帐号,当这些帐号涉及到金钱或者利益的时候,帐号的安全就是一个非常值得重视的问题,因此帐号的安全是各个厂商所非常关注的一个点. 但是依然会存在一些厂商在身份验证这一块上存在着漏洞,并不是厂商不注重这个问题,只是在代码层的验证过程中的逻辑出现了一些差异,往往这些逻辑漏洞利用起来比较容易.

WEB安全:XSS漏洞与SQL注入漏洞介绍及解决方案 - 牛奶、不加糖

- - 博客园_首页
一、跨站脚本攻击(XSS). XSS又叫CSS (Cross Site Script) ,跨站脚本攻击. 它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的. XSS攻击者通过构造URL的方式构造了一个有问题的页面;当其他人点击了此页面后,会发现页面出错,或者被暗中执行了某些js脚本,这时,攻击行为才真正生效.

Web未死

- Sinan - GeekPark 捕风捉影
App的极限已经浮现,而Web则是突破此极限,推动下一个数字时代革命的起点. 距离美国《连线》杂志发表《Web已死,互联网永生》这篇文章还不到一年的时间,业界为Web平反的声音渐起. 2010年1月,苹果发布iPad,紧随其后在6月又发布了iPhone4. 没有人质疑过苹果的iTunes+App的商业模式,App可谓如日中天.