硬件设备、自研系统、第三方软件……新的漏洞每天都在出现。安全工作如果长时间停留在头痛医头脚痛医脚的状态，所面临的结果是日趋复杂却收效甚微。本期报告尝试跳脱出对某一漏洞的近距离观察，从全行业安全建设现状视角出发，跟踪实时漏洞动态，帮助从业人员形成发现潜在安全风险的全局策略思路。

报告基于长亭安服团队深厚的安全服务与研究积累，漏洞选择上覆盖了那些利用链较长，综合利用难度较高的样本，更贴近漏洞造成的真实风险，而不是局限于“脚本小子”的破坏能力。此外，报告将对季度安全事件进行评论，也为您呈现网络安全世界的全球动态。

报告内容尝鲜：

2019年第一季度，全球范围内约发生12.43亿次Web攻击，日均1.38千万次。

在进行Web攻击时，SQL注入依然是最常被采用的手段，跨站脚本、远程文件包含分列二三位，但其数量与SQL注入有较大差距。

本季度，国家信息安全漏洞库（CNNVD）共采集3861个新增漏洞，其中超危漏洞占比7.04%，高危漏洞占比19.50%，中危漏洞占比51.33%；国家信息安全漏洞共享平台（CNVD）收集整理漏洞2966个，其中高危漏洞占比31.09%，中危漏洞占比59.51%。

CNVD统计的全部漏洞中，应用程序漏洞数量最多，占季度总数的57.12%。

据CNNVD发布的类型统计，本季度新增跨站脚本类漏洞最多，比例约为11.81%；缓冲区错误类漏洞数量次之，占比9.58%。

在对金融、互联网、教育、医疗、电力等数个行业的研究过程中，长亭科技安全服务团队发现全行业范围内，越权漏洞与SQL注入漏洞在高危Web漏洞中占比最高，均超过20%。

当前，业务逻辑漏洞依旧是出现频率最高的Web漏洞类型，占季度全部Web漏洞总数的20.99%；而越权漏洞虽然在本报告中被单独列出，但其本质上也属于业务逻辑漏洞的一种，因此合并统计，广义上的业务逻辑漏洞占比已超过季度Web漏洞总数的三分之一。

与去年全年数据对比，高频漏洞类型具有稳定性。

iOS系统的中高危漏洞中，不安全的ATS配置占据了最大比例，未使用SSL Pinning、Hybrid App代码保护不足、不正确的证书校验占比同样超过10%；而在Android系统的中高危漏洞中，代码可被重打包则成为了数量最多的问题类型，Activity劫持、应用可以被备份、Janus签名漏洞占比也较大。

此外，在众多高危漏洞中，长亭科技安全服务团队还发现了明文存储用户登录密码类漏洞，虽数量较少，但在安全意识普遍增强的当下，此类漏洞的出现显得过于低级。

全行业范围内，iOS客户端的高频漏洞类型包括未使用SSL Pinning、不安全的ATS配置和应用截图保护漏洞，分别占到了该系统全部漏洞总数的20.26%、18.6%和13.95%。

Android客户端的高频漏洞类型是Activity劫持、应用可以被备份、敏感内容输出到日志和Janus签名漏洞，分别占到Android平台漏洞总数的22.23%、14.81%、12.96%和9.26%。

在客户端的高频漏洞中，不同类型漏洞造成的危害区别较大，Activity劫持漏洞、敏感信息输出到日志、应用可以被备份和应用截图保护漏洞均会造成敏感信息泄露。2018年第三期《季度漏洞观察报告》曾对敏感信息输出到日志有过详细介绍，在当前日志收集系统使用率极高的背景下，此类漏洞需要广大开发者重视。

针对出现频率较高的客户端漏洞，长亭科技安全服务团队建议采取如下措施：

阅读更多内容，敬请下载本期《季度漏洞观察报告》全文。

守护网络安全绝非一日之功，防患于未然更非易事，长期跟踪观察与多样信息获取必不可少。长亭科技希望通过系列报告的发布，持续传递信息，为企业安全建设提供参考。