2019Q1季度漏洞观察报告

有效识别网络安全漏洞风险，需要哪些信息辅助判断？

硬件设备、自研系统、第三方软件，有待修补的漏洞每天都在出现，如果停留在头痛医头脚痛医脚的阶段，安全工作难免日趋复杂，却收效甚微。此时，乙方视角的漏洞研究信息，既可以帮助安全新人快速了解全行业普遍现状，补足背景信息；又可以为经验丰富的安全老手提供一个拔高审视角度、纵览全局的契机。

本季度，长亭科技安全服务团队研究了金融、互联网、教育、医疗、电力等多个行业的漏洞案例，从高危漏洞分析、高频漏洞类型、安全修复建议等多个维度与您分享研究收获。基于团队深厚的安全服务与研究积累，漏洞选择上覆盖了那些利用链较长，综合利用难度较高的样本，更贴近漏洞造成的真实风险，而不是局限于“脚本小子”的破坏能力。此外，报告将对季度安全事件进行评论，也为您呈现网络安全世界的全球动态。

报告发现

1. 业务逻辑漏洞依旧在数量和普遍程度上处于Web漏洞中的第一位，越权漏洞的数量虽不及前者多，但其在高危漏洞中占据了更大比重。
2. 88.89%的企业/机构至少存在一个高危Web漏洞，这一数字在中危及以上漏洞维度为90.74%。
3. 未使用SSL Pinning、不安全的ATS配置和应用截图保护漏洞是iOS客户端中的高频漏洞类型；Activity劫持、应用可以被备份、敏感内容输出到日志和Janus签名漏洞则是Android客户端中数量较多的隐患。
4. 由于业务逻辑复杂、需保护的信息种类多，金融行业客户端更易出现敏感信息泄露类问题。