exploit-db

exploit-db
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
2016年度Web漏洞统计之Exploit-db youyou06352017-01-23金币奖励+12共496841人围观 ，发现 8 个不明物体 WEB安全漏洞
2016年我们耳边经常想起“大数据”、“物联网”、“云”、“工控系统”等关键词，很多个厂家、行业都在热火朝天的做着“大数据”，随着2016年的过去，新的一年到来，让我们也针对web漏洞进行一次“大数据”分析。

众所周知的https://www.exploit-db.com是面向全世界黑客的一个漏洞提交平台，那么我们分析下2016年度web漏洞情况。

打开https://www.exploit-db.com/webapps后发现Web Application Exploits是一行行的漏洞列表。

无标题.png

每个漏洞都占有一行，显示漏洞的Date、Title、Platform、Author，可以点击Title查看详细的漏洞。

无标题.png

在查看了多个漏洞页面后可以看出，每个漏洞的页面可以由编号来区分的，而且编号是增量的。

无标题.png

无标题.png

于是，针对web漏洞的“大数据”分析思路如下：

1.编写python爬虫，把2016年的web漏洞进行数据爬取（目前来说网页爬虫主流一直是python，开发效率高，代码编写简单）

2.将python爬虫爬取的数据输出到excle

3.使用excle进行二次数据梳理，统计漏洞排行、开发语言、漏洞数量

4.图表展示，使用office任何工具均可

中间过程省略，文章末尾会发放python爬虫的部分代码。

以下便是2016年度根据https://www.exploit-db.com的数据统一出全球黑客的web漏洞“大数据”分析。

0X001各漏洞占有率
无标题.png

看来还是SQL注入漏洞最多，CSRF、CSS分别列第二、第三位。

0X002各漏洞对应的开发语言
无标题.png

还是开源的PHP问题最多，ASPX、Python的最少。

0X003每个月度的漏洞数量分布
无标题.png

2016年6月、10月漏洞提交数量最多，是因为黑客们放假在家无聊吗？

0X004世界黑客漏洞提交排行Top10
无标题.png

2016年度提交web漏洞的黑客有235人，其中有几位是中国人，以上是漏洞提交的黑客前10名，第11名与第10名并列。

0X005结尾
在文章结尾发放python爬虫源码：

#-*-coding:utf-8-*-

#爬取ebay网站页面，设置个数，并保存源码文件

#适用于URL后面有固定字符+数字的网站

import urllib

import urllib2

def getPage(url):

request = urllib2.Request(url)

response = urllib2.urlopen(request)

return response.read()

url='http://www.ebay.com/sch/TShirts-/15687/i.html?Style=Basic%2520Tee&_dcat=15687&Color=Black'

p=0

#设置爬取的页面个数为5个

while p<5: print ' =='+str(p+1)+'==start==' result=getPage(url+'&_pgn='+str(p+1)) txt='D:\\result'+str(p+1)+'.html' f= open(txt,"w+") f.write(result) print ' =='+str(p+1)+'====end==' p=p+1 f.close() 另外，数据整理可以有很多方法，给各位读者留下一个小作业，如何在爬取数据后如何进行数据整理。 文章就到这里，各位再见！2017年到了，祝各位新年快乐！ *本文作者：youyou0635，转载请注明来自FreeBuf.COM youyou0635 youyou0635 1 篇文章 等级： 1级 || 上一篇：WAF产品经理眼中比较理想的WAF下一篇：看我如何发现Facebook的ImageMagick漏洞并获得4万美元赏金 这些评论亮了 硅谷中人 回复 有意思赞其中一项统计是，6月，10月发现后提交数据库的漏洞最多，说明大部分黑客都是在校学生？ )16(亮了 发表评论已有 8 条评论 抄作业 2017-01-23回复 1楼 楼下的借作业抄抄 亮了(0) xiaix (6级) root@xiaix.me 2017-01-23回复 2楼 url=’http://www.ebay.com/sch/TShirts-/15687/i.html?Style=Basic%2520Tee&_dcat=15687&Color=Black’ ？ 画图为啥不直接用matplotlib呢？ 亮了(1) 硅谷中人 2017-01-23回复 3楼 有意思赞 其中一项统计是，6月，10月发现后提交数据库的漏洞最多，说明大部分黑客都是在校学生？ 亮了(16) 山白长 (1级) 2017-01-23回复 4楼 你们漏洞盒子还能上去么？我怎么打不开网页 亮了(2) testscc 2017-01-23回复 5楼 在此 有必要 喊一句 ：PHP 是最好的编程语言！！！ 哈哈哈 亮了(0) hacking 2017-01-25回复 6楼 为啥不是python，php有这么牛？ 亮了(0) The die so alive (1级) 2017-01-26回复 @ hacking 你一看就不是资深程序员 哈哈 亮了(0) gakk 2017-06-10回复 @ hacking python用的还真没php的多 亮了(0) 昵称 请输入昵称 必须您当前尚未登录。登陆？注册邮箱 请输入邮箱地址 必须（保密）表情插图 有人回复时邮件通知我 youyou0635 youyou0635 由广 CISSP、CISP、OWASP中国区会员 Fortinet安全专家 51CTO、i春秋优秀讲师 补天、漏洞盒子白帽子 研究方向：windows、linux系统内核，软件开发，病毒木马分析，网络与信息安全，信息安全产品及服务，渗透测试。 QQ：164356115 QQ群：9272858 1 文章数 0 评论数 最近文章 2016年度Web漏洞统计之Exploit-db 2017.01.23 浏览更多 相关阅读 “百脑虫”手机病毒分析报告如何破解12位+字符的高强度密码？CNNVD 关于微信支付官方SDK XXE漏洞情况的通报PHP7.0.0格式化字符串漏洞与EIP劫持分析谈谈我所了解的WEB代理 特别推荐 关注我们 分享每日精选文章 活动预告 11月 FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气 已结束 10月 【16课时-连载中】挖掘CVE不是梦（系列课程2） 已结束 10月 【首节课仅需1元】挖掘CVE不是梦 已结束 9月 【已结束】自炼神兵之自动化批量刷SRC 已结束 FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们 官方微信 新浪微博腾讯微博Twitter赞助商 Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号 css.php 正在加载中...0daybank