在CVE漏洞类型分布 |
1) | 公开报道的web应用程序漏洞的数量急剧上升,已经超过缓冲区溢出的地步。这可能是由于易于检测和开发web漏洞,结合扩散低级软件由没有经验的开发人员编写的应用程序。在2005年和2006年,跨站点脚本(XSS)是1号,2号和SQL注入。 |
2) | PHP远程文件包含(RFI)在2006年飙升至3号,几乎比上年增加了1000%。因为RFI允许一个脆弱的服务器上执行任意代码,这是一个令人担忧的趋势,虽然经常适当的配置足以消除它。这一趋势很可能反映了RFI在创建僵尸网络使用web服务器的角色(感染)。 |
3) | 缓冲区溢位仍然是头号问题报道的操作系统(OS)供应商报告。这类XSS仍然很高,在2005年和2006年的3号,虽然其他web应用程序漏洞出现次数少得多了。 |
4) | 整数溢出,几乎在前十名整体在过去的几年中,为操作系统供应商报告,2号缓冲区溢出。这可能表明专家研究兴趣高调的软件。 |
5) | 有明显的差异类型的漏洞被报道在开启和关闭源操作系统供应商报告。这些值得进一步调查,因为它们可能反映了重要发展的差异,研究,和信息披露实践。 |
6) | 数据是不确定的关于是否有一个具体的改善总体软件安全。虽然有新的漏洞类,和增加多样性的漏洞类型,旧类的原始数据没有明显改变。在这一领域还需要进一步调查。 |
草案的报告发布2006年10月,由于广泛的需求。虽然本文主要是基于报告,以下差异是最重要的:
1) | 2006年的统计数据覆盖整个年。 |
2) | 一个重要的统计与CSRF报道;参见表1分析。 |
3) | PHP远程文件包含整体(RFI) # 4, # 5,更接近于SQL注入比最初报道的2006年。RFI的链接到web服务器僵尸网络中提到“总结的结果”和“总体趋势”部分。 |
4) | 完整的报告与10月小统计差异报告关于总数量的cf,由于(a)偶然添加id的老问题发生在2006年底,或(b)切除一些id,因为他们重复或后来被证明是虚假的报告。事件都是相对常见的任何漏洞信息存储库,旨在维护历史准确性。 |
5) | 不安全的存储在web文档根(webroot)是2006年的10号,而不是13。 |
三个主要数据集被用于分析。
总体:这个数据集包含所有cf在2001年第一次公开报道或晚(cf早些时候没有适当的字段填写)。CVE包括所有类型的软件,无论是来自主要的厂商或个人爱好者程序员,只要相关的漏洞已经被开发人员或发布的报道研究人员或第三方来源如邮件列表和漏洞数据库。CVE只包括可分配的软件,即。,它不包括定制软件问题报告在特定网站。虽然CVE数据是不完整的,据估计,它是80%完成相对于所有主要的邮件列表和漏洞数据库,从2003年与可能的异常数据。
操作系统供应商:这个数据集标识cf与操作系统(OS)相关供应商报告,这将捕获内核漏洞,以及应用程序支持的操作系统供应商。数据仅限于cf,有一个或多个引用下面的来源。为开源操作系统供应商,以下使用来源:DEBIAN, FREEBSD,曼德拉草/ MANDRIVA, NETBSD, OPENBSD, REDHAT, SUSE。闭源操作系统厂商包括:AIXAPAR,苹果、思科、惠普、MS, MSKB,上海合作组织,SGI,太阳,SUNALERT。CVE没有内部数据字段为主要非os供应商支持更细粒度的分析。
打开/关闭来源:开放和封闭源操作系统(OS)供应商都使用相同的方法和类别如“操作系统供应商”一节所述。因为一些闭源苹果等厂商重要的代码重叠与开源产品,任何重叠的cf从数据集中删除,开放和封闭集至少有1700个漏洞。
在每个数据集,漏洞还没有废去,如果他们被标记为“争议。“许多纠纷不正确或未解决的。
2006年的数据,95%的CVE的主要数据来源都淹没了,为了提供最完整的数据可行。剩下的问题是极其复杂的或给CVE的内容决定带来更大的问题。由于资源的限制,斜方无法实现前几年这种级别的完整性。
在HTML页面,下面的颜色主要是用于趋势表。
灰色:用于帮助视觉上比较独立的一个数据集
红色:那一年的前10名
格林:在那一年,脆弱的等级至少5分低于平均水平等级的脆弱性
黄色:在那一年,脆弱的等级至少5分以上的平均等级,弱点
所以,绿色左边表示vulns日益普及,将右边的黄色。绿色在右边显示vulns声望下降,将左边的黄色。
急剧上升最明显的趋势是在公共报告特定于web应用程序的漏洞。
缓冲区溢出是第一年复一年,但在2005年改变了与web应用程序漏洞的崛起,包括跨站点脚本攻击(XSS)、SQL注入,和远程文件包含,尽管SQL注入不仅限于web应用程序。事实上,2006年迄今,缓冲区溢位只有# 4。
可能有几个因素来增加网络的漏洞:
1) | 最基本的数据操作对这些漏洞是非常简单的执行,例如,”“对SQL注入和“<脚本>警报(“嗨”)为XSS > < /脚本。这使它容易开始研究人员快速测试大量的软件。 |
2) | 有大量的免费的web应用程序。大部分的代码是α或β,经验不足的程序员写的与易学易懂的语言(如PHP、和分布在高流量的网站。应用程序可能有一个小的或不存在的用户基础。这些软件往往充斥着填充漏洞,它通常是一个目标开始研究。大量的这些“fish-in-a-barrel”应用程序可能是一个主要贡献者的总体趋势。 |
3) | XSS,每个输入都有潜力成为攻击向量,与其他漏洞类型没有发生。这让更多的机会——一个错误发生在一个程序,否则防止XSS。SQL注入也有许多潜在的攻击向量。 |
4) | 尽管民意XSS很容易避免,它有许多微妙之处和变异。甚至固体应用程序可以有缺陷;考虑非标准浏览器的行为,尝试“修复”畸形的HTML,这可能通过一个过滤器使用正则表达式。最后,直到2006年初,PHP解释器有漏洞,没有引用错误消息,但是许多研究人员只报道了表面上的“合成”XSS而不是找出是否存在不同的“主要”漏洞导致的错误。 |
5) | 有证据表明,在过去的几年中,web defacers已经执行和发布自己的研究感兴趣。这可能是由于易于找到漏洞,加上高风险的存在问题,如PHP文件包含,可用于远程安装强大,容易获得的秘密代码。根据客户职位众多供应商论坛,有确凿的证据,远程文件包含经常用来妥协的web服务器,这也有助于解释它的受欢迎程度。 |
1) | PHP远程文件包含2006年飙升近1000%。这是最有可能反映了RFI在创建僵尸网络使用web服务器的角色(感染)。 |
2) | 2006年五大漏洞类型是负责所有cf的57%。超过35本报告中使用漏洞类型,和几十个目前在CWE标识,这说明大多数公共报告只集中在少数漏洞类型。 |
3) | 跨站请求伪造(CSRF)仍然是一个“沉睡的巨人”(格罗斯曼)。CVE CSRF似乎很少,不到2006年的0.1%,但其真正的患病率可能比这个更大的。这是形成鲜明对比结果发现web应用程序安全专家包括耶利米格罗斯曼,RSnake,安德鲁·范德股票和杰夫·威廉姆斯。这些研究人员经常发现CSRF合同工作期间,指出目前不容易自动检测。缺乏CSRF的CVE表明费合同人员不是简单地调查这个问题。如果(时),研究人员开始关注这个问题,可能会有显著增加CSRF报告。 |
4) | 多年来,已经有了明显的下降shell元字符,符号链接,和目录遍历。目前尚不清楚软件实际上是改善这些问题,或如果不调查频繁。 |
5) | 定期信息泄漏出现。突出:有两个主要原因的信息泄漏是一个更一般的类比其他人更精确的子类别(见CWE),当一个错误消息包含一个完整路径,通常归类为一个信息泄漏,尽管它可能会从一个单独的合成主要弱点。 |
6) | 无法处理畸形的输入(dos-malform),这通常会导致崩溃或挂起,也是一个通用类。Malformed-input漏洞尚未研究密切注入漏洞,至少对识别问题的根源。同时,许多报道没有指定如何畸形的一个输入。可能有许多情况下,研究人员意外引发更严重的漏洞,但不执行足够的诊断来确定主要的问题。最后,供应商报告可能只识别相关的一个问题是“畸形的输入,这掩盖了主要原因。 |
7) | 缓冲区溢出的比例已经下降,已增加相关漏洞类型,包括整数溢出(int-overflow) signedness错误,和双释放(双重释放)。这些仍然非常低,大概是因为他们的相对新奇和难以检测相比,经典的溢出。此外,这些新兴可能被贴上缓冲区溢出漏洞类型,因为他们往往会导致缓冲区溢出,和“缓冲区溢出”术语交替使用攻击,原因,和效果。 |
8) | 其他有趣的web应用程序漏洞webroot(存储web文档根目录)下的敏感文件、表单字段(web参数篡改),上传的文件和可执行文件的扩展(例如,file.php.gif), eval注入,跨站点请求伪造(CSRF)。 |
鉴于web应用程序漏洞和增加部分是由于研究者感兴趣的可能性比较小众的软件,分析了基于来自操作系统(OS)供应商的报告。这些报告通常包括操作系统内核和关键应用程序得到供应商的支持。有关更多信息,请参见数据集部分。不幸的是,无法生成更精确的数据集。
表2提供了操作系统供应商的数据报告。表3对比与其他操作系统供应商报告报告问题。
有几个值得注意的结果:
1) | 整数溢出大量操作系统供应商报告中表示,2006年增长2号,即使他们代表漏洞整体的不到5%。这可能反映了专家越来越感兴趣的研究人员发现整数溢出,以及专家研究人员评估广泛部署软件的趋势。受影响的软件范围广泛,包括内核、加密模块和多媒体文件处理器如形象观众和音乐播放器。2004年以后,许多报道的问题发生在图书馆或常见的dll。 |
2) | 缓冲区溢位仍然是# 1。这可能是由于web应用程序在操作系统报告中所占比例较小,相对于其他的cf。此外,整数溢出等相关问题的增加,他们可能发现或报告为缓冲区溢出,因为从整数溢出缓冲区溢位经常合成。 |
3) | XSS仍然很常见,即使在操作系统报告,似乎在2006年几乎相同的频率整数溢出。一个非正式的分析表明,影响软件包括web服务器、web浏览器、电子邮件客户端,管理接口和Wiki / CMS。 |
4) | 除了XSS,之间有一个宽阔的海湾与web相关的漏洞在操作系统报告和其他问题。SQL注入是操作系统报告7号,和PHP远程文件包含实际上是不存在的。许多其他的web漏洞占据图表的底部。SQL注入,可能大多数OS-supported应用程序不使用数据库,或没有web可访问。SQL注入漏洞不是网络自身,但是看起来他们很少报道对于非web应用程序,这可能反映了一些研究者的偏见。 |
5) | 目录遍历和格式字符串漏洞频繁报道以更高的速度比其他地方操作系统供应商报告。原因尚不清楚,因为这些漏洞并不局限于本地攻击向量,因此,有人可能会认为他们也经常出现在web应用程序。然而,很可能人员不关注格式字符串,因为他们很少有可利用的代码执行的其他语言c . PHP,许多PHP函数受到远程文件包含和目录遍历,也许,只有文件包含公开报道。(事实上,重叠是如此之近,这有时会导致困难分类)。 |
6) | 2006年到目前为止,超过四分之一的操作系统供应商报告没有足够的细节来分类脆弱性(类型“unk”),为26.8%。这是在非os问题形成强烈的反差,这占不到8%。然而,因为数据集的问题,非os cf将包括许多non-coordinated披露,就其本质而言,提供更多的细节。表4表明,不仅仅是闭源供应商报告,省略足够细节漏洞分类。 |
7) | “五大”和“十大”漏洞在每年总额的比例小得多的漏洞比非OS操作系统供应商报告问题。例如,5 2006年最常见的漏洞操作系统供应商问题的占30.2%,但65.3%的非OS。操作系统问题,这表明越来越多样性的各种漏洞报告,而对于其他的问题,这种多样性似乎正在减少。这也反映在“其他”类别,在哪个操作系统供应商有一个更大的比例比2006年非OS“其他”问题。然而,这可能是另一个反映主流的web应用程序的漏洞。 |
表4比较了脆弱性类型分布之间的开源和闭源操作系统(OS)的供应商。有关更多信息,请参见“数据集”部分的数据集生成。作为一个提醒,cf,重叠开放和封闭源代码集都省略了。
重要的:不恰当的使用这些结果客观地比较开放和闭源的相对安全的产品,所以这份报告不包括原始数据。两组至少有2500个漏洞。有太多的变化供应商咨询发布政策,可能研究技术的差异,以及其他因素中提到[Christey]。简单地说,有太多潜在的原始数据被滥用和误解。
然而,一些结果提出有趣的问题,值得更深入的调查。这些差异可能反映不同的脆弱性研究技术,研究员的子供应商披露政策,和开发实践和api,但这还没有被证明。
草案于2006年10月发布后,各厂商和研究代表咨询,但没有任何明确的结论。鼓励研究和供应商社区调查这些差异的根本原因,这可能为所有软件开发者提供经验教训,开启和关闭都来源。
一些最明显的结果是:
1) | 的比例“未知”的漏洞——那些无法分类由于缺乏细节,闭源的显著高于开源报告,在2006年达到43%,而只有8%的开源的。如此大的差异,很难知道是否有剩余的结果在这一节中是重要的。 |
2) | 缓冲区溢出是1号打开和关闭,每年大致相同的比例,除了2004年。 |
3) | 符号链接漏洞以更高的速度出现在开源比闭源,尽管这可能是由于在数据集。非Unix操作系统,Windows“快捷键”(.LNK),类似于Unix链接,他们很少出现在微软警告,或基于Windows的应用程序。目前尚不清楚这是由于在研究当中或API /发展差异。作者回忆,至少Linux发行版的一个研究员定期调查符号链接问题在2004年和2005年,所以研究者偏见可能也是一个因素。 |
4) | 格式字符串漏洞更频繁地出现在开源的。可能有几个因素。首先,易感API库调用printf()很容易发现等源代码使用原始的方法,而二进制逆向工程技术并不是由许多研究者对符号链接(这也可能是一个解释问题)。第二,许多格式字符串问题似乎发生在rarely-triggered错误条件,这使得他们更难使用黑盒测试方法。 也许最令人惊讶的:在2006年,非unix闭源报告几乎覆盖任何格式字符串。目前尚不清楚为什么会有这样一个激进的区别。 |
5) | Malformed-input漏洞通常更频繁地出现在闭源报告比开源的,除了2006年。这一历史趋势可能是由于缺乏细节闭源报告。如果一个顾问提到一个问题,由于“畸形的数据,”这可能是分配dos-malform类型。另一个因素可能是由于黑盒技术。似乎fuzz工具和其他工具将使用更频繁地对闭源比开源产品,但这是不知道。第三个因素可能是修改CVE的数据输入程序,最终开始进入“未知”缺陷类型模糊的术语如“内存泄露”。 |
6) | XSS漏洞更频繁地出现在开源比关闭警告,但这可能反映了厂商发布的政策建议。看来开源供应商更容易释放报告对于较小的包。 |
7) | 整数溢出大致相同的排名已经开启和关闭源。这是一个奇怪的相似,因为一个可能不希望开启和关闭源分析技术同样能够找到这些问题。 |
8) | 另一个有趣的例子是违约或硬编码的使用密码。多年来,很少有开源供应商报告提到的默认密码,而他们在闭源报告出现了一些规律,即使是在前10名早在2005年。目前尚不清楚这是一个区别在航运/配置实践或供应商披露政策。 |
9) | 在2006年10月的分析,发现,在非unix shell元字符问题出现的频率更低比其他闭源报告闭源。这个结果验证了利用最新的数据;这不是明显在表4。这可能是由于API函数的使用模式,比如Windows, CreateProcess()和系统(Unix)。这个结果是被报告,因为它是最具体的例子的API函数如何扮演一个角色在实现级漏洞。 |
1) | 漏洞类型可以绑定到其他CVE-normalized数据,如id、事件数据库,或漏洞扫描结果。这可能确定的类型正在积极利用的漏洞或发现在实际的企业。 |
2) | 更精确的分类信息。大约有15%的cf漏洞类型不能被描述使用当前的分类方案。另外10%的未知漏洞的披露没有足够的细节来确定任何漏洞类型,但是这个问题是不可避免的,因为有些供应商不释放这些细节。 |
3) | 原油的研究员多样性可能通过链接数据其他漏洞数据库,记录这些信息。这可能是用于确定原始研究人员的数量增加(可能),这个速度是如何增加的数量相对于漏洞(未知),和有多少不同的错误类型发现平均研究员(可能是相当小的)。如果这些数据是可用的,那么进一步分解可以执行基于专业研究人员与他人。 |
4) | 更精确的数据集可以被识别,如各产品类别的市场领导者,不仅操作系统供应商报告。CVE不记录这种类型的信息。 |
多样性的研究人员和供应商信息披露实践介绍了不可测的偏见,更详细地描述[Christey]。
2003年的总体结果,问题与漏洞有近20%的未指定的CVE分析师,这是与其他年份的统计数据不一致。许多这些漏洞简要回顾了2006年10月,他们实际上是其他类型的。这种差异并没有得到充分的解释说,虽然这可能是至少部分由于cf的相对比例在其他操作系统供应商报告cf,自2003年以来,是一个低产出年CVE因此浓度在高优先级软件。
一些漏洞类型由于分类困难可能未被充分代表。例如,表单字段的类型(网络参数篡改)偶尔会被分类为一个身份验证错误,这取决于最初的研究员报告这个问题。
1) | 你为什么不提供原始数据的开放与封闭源码? 答:我们已经说过原因。看到第二款表4分析的提醒,一个显著的“重要”。 |
2) | 你为什么在10月份发布报告草稿,而不必等待完成2006个数据? 答:当斜方提到网络安全的初步结果执行峰会9月13日有很多比我们原本预期的更大的兴趣。我们希望后续讨论的结果可能会帮助我们提供更好的报告在2006年完成。 |
3) | 与其他相比如何总结你过去发布?为什么老年的数字和百分比变化吗? 答:(1)我们偶尔添加cf的老问题,(2)的一些以前发布的总结是累积而不是提供一年一年地崩溃,(3)并最终作为一种新型的漏洞报告更加频繁,CVE项目通知它足以给它一个名称,或者至少一个类型。一旦我们这样做,我们可以回去和更新旧的cf,也有这个问题。然而,我们经常依靠关键词搜索的CVE描述做这些类型的更新。最早的报道新漏洞类型可能得不到充分捕捉,因为CVE描述经常变化在早期或几个月的新漏洞类型。大多数更新这些脆弱性趋势引发非正式评审的“其他”漏洞数据集更新类型字段。 |
4) | 有很多比你所投保的漏洞类型。 答:这是一个观察,而不是一个问题。如果某个漏洞类型是不在名单上,那么它可能没有出现足够频繁CVE项目密切跟踪。有几种原因:(1)漏洞类型从一个大的下拉菜单选择CVE细分的过程中,但也(2)我们的工作共同弱点枚举(CWE)是生产数百vuln类型,我们希望它变得更稳定之前做下一轮修改CVE数据。最后,(3)约4000漏洞标记为“其他”或“未指定”,它的成本是高昂的审查每个CVE组类别时更新。 |
5) | 为什么不是我最喜欢的web漏洞吗? 答:许多web漏洞很难分类,因为它们是多因素,即。,他们是由多个bug,弱点,和/或设计的局限性。其他网络问题只是专门攻击,使用其他的主要弱点。例如,大多数依靠CRLF注入HTTP响应分裂问题,所以他们被归类在CRLF注入。 |
这样的大规模趋势分析是不可能没有知识的身体已经形成了成百上千的研究人员,爱好者和专业人士。
感谢以下实质性反馈初稿,有时候一个问题的形式,需要更多的调查:Chris Wysopal,马克Curphey比尔•海因伯克尔。感谢耶格罗斯曼,安德鲁·范德股票RSnake,威廉姆斯和杰夫CSRF检测他们的反馈。
[Christey]的公开信解释的脆弱性统计”,史蒂夫•Christey Bugtraq、充分揭示1月5日2006年http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041028.html |
(系统)的Web服务器僵尸网络和主机农场攻击平台,Gadi系统幼狮Damari &诺姆市议会厅,病毒公告,2007年2月 |
(格罗斯曼)“CSRF,沉睡的巨人”,格罗斯曼,耶利米http://jeremiahgrossman.blogspot.com/2006/09/csrf-sleeping-giant.html |
类型: | 身份验证 |
---|---|
CWE: | CWE CWE CWE - 289 - 288 - 302, CWE - 305, 294年CWE CWE - 290, CWE CWE - 287 - 303 |
描述: | 弱/坏身份验证问题 |
类型: | 缓冲区 |
CWE: | cwe cwe - 119 - 120 |
描述: | 缓冲区溢出 |
类型: | CF |
CWE: | 没有一个 |
描述: | 一般配置的问题,不是烫或违约 |
类型: | crlf |
CWE: | cwe - 93 |
描述: | CRLF注入 |
类型: | 地下室 |
CWE: | cwe cwe cwe - 310 - 311 - 347, cwe cwe - 320 - 325 |
描述: | 密码错误(可怜的设计或实现),包括明文存储或传输的敏感信息。 |
类型: | CSRF |
CWE: | cwe - 352 |
描述: | 跨站请求伪造(CSRF) |
类型: | 默认的 |
CWE: | N /一个 |
描述: | 不安全的默认配置,如密码或权限 |
类型: | 设计 |
CWE: | 没有一个 |
描述: | 设计问题,一般在协议或编程语言。自2005年以来,它的使用是有限的,由于这种类型的高度一般自然。 |
类型: | dos-flood |
CWE: | cwe - 400 |
描述: | DoS造成的洪水与大量的*合法格式*请求/等。;通常DoS是崩溃,或花更多的时间在任务比‘应该’ |
类型: | dos-malform |
CWE: | cwe cwe cwe - 238 - 234 - 166, cwe - 230,其他许多人 |
描述: | DoS造成畸形的输入 |
类型: | dos-release |
CWE: | cwe - 404 |
描述: | DoS因为系统不正确地释放资源 |
类型: | 点 |
CWE: | CWE-22、CWE-23 CWE-36 |
描述: | 目录遍历(通过的文件访问. .”或变种) |
类型: | 双重释放 |
CWE: | cwe - 415 |
描述: | 双重释放脆弱性 |
类型: | eval-inject |
CWE: | cwe - 95 |
描述: | Eval注入 |
类型: | 表单字段 |
CWE: | cwe - 472 |
描述: | CGI程序固有的信托不应该修改的表单字段(即。,应该存储在本地) |
类型: | 格式字符串 |
CWE: | cwe - 134 |
描述: | 格式字符串漏洞;用户可以将格式说明符在字符串处理。 |
类型: | infoleak |
CWE: | cwe cwe cwe - 205 - 212 - 203, cwe - 209, cwe - 207, cwe - 200, cwe - 215,别人 |
描述: | 信息泄漏的产品,这不是另一个脆弱的结果;一般由设计或生产不同的“答案”,显示状态;通常配置/权限或错误报告/处理。 |
类型: | int-overflow |
CWE: | cwe - 190 |
描述: | 可以增加一个数值,它溢出,并开始在最小值,与安全的影响。重叠signedness错误。 |
类型: | 链接 |
CWE: | cwe cwe - 61 - 64 |
描述: | 符号链接后 |
类型: | memleak |
CWE: | cwe - 401 |
描述: | 内存泄漏(空闲内存时,它不应该);用这个代替dos-release |
类型: | metachar |
CWE: | cwe - 78 |
描述: | 保有的shell元字符或其他非上市的特殊字符;目前包括SQL注入但不是XSS。 |
类型: | msdos-device |
CWE: | cwe - 67 |
描述: | 由于文件名称与ms - dos设备名称的问题。 |
类型: | 未指定 |
CWE: | 没有一个 |
描述: | CVE分析师尚未分配的缺陷类型问题,通常类似于“其他”。 |
类型: | 其他 |
CWE: | 没有一个 |
描述: | 其他的漏洞;问题不能描述时使用一个可用的类型分析。 |
类型: | 通过 |
CWE: | cwe - 259 |
描述: | 违约或硬编码的密码 |
类型: | 烫 |
CWE: | cwe - 276 |
描述: | 分配权限不好,不计算权限,或不当检查权限 |
类型: | php-include |
CWE: | cwe - 98 |
描述: | PHP远程文件包含 |
类型: | 我感到 |
CWE: | cwe cwe cwe - 266 - 274 - 272, cwe - 250, cwe - 264, cwe - 265, cwe - 268, cwe - 270, cwe - 271, cwe cwe - 269 - 267 |
描述: | 糟糕的权限分配,或特权/行动不受保护/未经身份验证的过程。 |
类型: | 比赛 |
CWE: | cwe cwe cwe - 362 - 366 - 364, cwe - 367, cwe - 421, cwe - 368, cwe cwe - 363 - 370 |
描述: | 通用竞态条件(不是符号链接(链接)后!) |
类型: | 兰德 |
CWE: | cwe cwe cwe - 330 - 331 - 332, cwe - 338, cwe - 342, cwe - 341, cwe - 339,别人 |
描述: | 代不够随机数,通常通过使用容易可猜测的“随机”数据的来源 |
类型: | relpath |
CWE: | cwe cwe cwe - 426 - 428 - 114 |
描述: | 不可信的搜索路径的弱点——依赖搜索路径找到其他可执行程序或文件,开放特洛伊木马攻击,例如,在Unix path环境变量。 |
类型: | 沙盒 |
CWE: | cwe - 265 |
描述: | Java /等。沙箱逃脱——不是由圆点! |
类型: | signedness |
CWE: | cwe cwe - 195 - 196 |
描述: | Signedness错误;一种格式的数值,/表示没有得到合理的处理时使用它,就好像它是另一种格式/表示。重叠整数溢出和数组索引错误。 |
类型: | 恶搞 |
CWE: | cwe cwe cwe - 290 - 350 - 347, cwe - 345, cwe - 247, cwe cwe - 292 - 291 |
描述: | 产品是容易欺骗攻击,通常不正确验证真实性。 |
类型: | sql-inject |
CWE: | cwe - 89 |
描述: | SQL注入漏洞 |
类型: | 类型检查 |
CWE: | 未知的 |
描述: | 产品不正确识别输入参数的类型或文件,然后分派错误的“可执行”(可能是本身)来处理输入,或者歪曲了强调安全的方式输入。 |
类型: | undiag |
CWE: | 没有一个 |
描述: | 未确诊的脆弱性;报告包含足够的细节,这样的类型可以由额外的深入研究,比如un-commented利用,或在一个开源的产品差别。 |
类型: | unk |
CWE: | 没有一个 |
描述: | 未知的漏洞;报告太模糊,确定类型的问题。 |
类型: | 上传 |
CWE: | cwe - 434 |
描述: | 产品不限制文件的扩展,可以上传到web服务器,导致代码执行,如果执行扩展在文件名中使用,如asp。php, .shtml。 |
类型: | webroot目录 |
CWE: | cwe cwe - 219 - 433 |
描述: | 存储的敏感数据在web文档根访问控制不足。 |
类型: | XSS |
CWE: | cwe cwe cwe - 79 - 80 - 87, cwe - 85, cwe - 82, cwe - 81, cwe cwe - 83 - 84 |
描述: | 跨站点脚本(又名XSS) |
排名 | 缺陷 | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 | |
---|---|---|---|---|---|---|---|---|---|
总 | 18809年 | 1432年 | 2138年 | 1190年 | 2546年 | 4559年 | 6944年 | ||
[1] | XSS | 13.8% | 02.2% (11) | 08.7%(2) | 07.5%(2) | 10.9%(2) | 16.0%(1) | 18.5%(1) | |
2595年 | 31日 | 187年 | 89年 | 278年 | 728年 | 1282年 | |||
[2] | 缓冲区 | 12.6% | 19.5%(1) | 20.4%(1) | 22.5%(1) | 15.4%(1) | 09.8%(3) | 07.8%(4) | |
2361年 | 279年 | 436年 | 268年 | 392年 | 445年 | 541年 | |||
[3] | sql-inject | 09.3% | 00.4% (28) | 01.8% (12) | 03.0%(4) | 05.6%(3) | 12.9%(2) | 13.6%(2) | |
1754年 | 6 | 38 | 36 | 142年 | 588年 | 944年 | |||
[4] | php-include | 05.7% | 00.1% (31) | 00.3% (26) | 01.0% (13) | 01.4%(10) | 02.1%(6) | 13.1%(3) | |
1065年 | 1 | 7 | 12 | 36 | 96年 | 913年 | |||
[5] | 点 | 04.7% | 08.9%(2) | 05.1%(4) | 02.9%(5) | 04.2%(4) | 04.3%(4) | 04.5%(5) | |
888年 | 127年 | 110年 | 34 | 106年 | 196年 | 315年 | |||
[6] | infoleak | 03.4% | 02.6%(9) | 04.2%(5) | 02.8%(6) | 03.8%(5) | 03.8%(5) | 03.1%(6) | |
646年 | 37 | 89年 | 33 | 98年 | 175年 | 214年 | |||
[7] | dos-malform | 02.8% | 04.8%(3) | 05.2%(3) | 02.5%(8) | 03.4%(6) | 01.8%(8) | 02.0%(7) | |
521年 | 69年 | 111年 | 30. | 86年 | 83年 | 142年 | |||
[8] | 链接 | 01.8% | 04.5%(4) | 02.1%(9) | 03.5%(3) | 02.8%(7) | 01.9%(7) | 00.4% (16) | |
341年 | 64年 | 45 | 42 | 72年 | 87年 | 31日 | |||
[9] | 格式字符串 | 01.7% | 03.2%(7) | 01.8%(10) | 02.7%(7) | 02.4%(8) | 01.7%(9) | 00.9% (11) | |
317年 | 46 | 39 | 32 | 62年 | 76年 | 62年 | |||
[10] | 地下室 | 01.5% | 03.8%(5) | 02.7%(6) | 01.5%(9) | 00.9% (16) | 01.5%(10) | 00.8% (13) | |
278年 | 55 | 58 | 18 | 22 | 69年 | 56 | |||
[11] | 我感到 | 01.3% | 02.5%(10) | 02.2%(8) | 01.1% (12) | 01.3% (11) | 01.5% (11) | 00.8% (14) | |
249年 | 36 | 46 | 13 | 33 | 67年 | 54 | |||
[12] | 烫 | 01.3% | 02.7%(8) | 01.8% (11) | 01.3% (11) | 00.9% (15) | 01.1% (13) | 01.1%(9) | |
241年 | 39 | 39 | 15 | 24 | 48 | 76年 | |||
[13] | metachar | 01.2% | 03.8%(6) | 02.6%(7) | 00.7% (18) | 01.0% (14) | 01.3% (12) | 00.4% (17) | |
233年 | 55 | 56 | 8 | 26 | 59 | 29日 | |||
[14] | int-overflow | 01.0% | 00.1% (32) | 00.4% (25) | 01.3%(10) | 01.8%(9) | 00.8% (14) | 01.2%(8) | |
190年 | 1 | 8 | 16 | 47 | 36 | 82年 | |||
[15] | 身份验证 | 00.8% | 01.5% (13) | 01.3% (15) | 00.5% (19) | 00.7% (17) | 00.5% (19) | 00.9% (12) | |
155年 | 22 | 27 | 6 | 17 | 21 | 62年 | |||
[16] | dos-flood | 00.7% | 02.0% (12) | 01.7% (13) | 00.5% (20) | 01.2% (12) | 00.2% (27) | 00.4% (19) | |
138年 | 29日 | 36 | 6 | 31日 | 11 | 25 | |||
[17] | 通过 | 00.7% | 01.1% (17) | 01.3% (14) | 00.2% (29) | 01.1% (13) | 00.8% (15) | 00.4% (18) | |
135年 | 16 | 28 | 2 | 28 | 36 | 25 | |||
[18] | webroot目录 | 00.6% | 00.1% (29) | 00.2% (32) | 00.3% (25) | 00.2% (29) | 00.7% (16) | 01.0%(10) | |
117年 | 2 | 5 | 3 | 5 | 33 | 69年 | |||
[19] | 表单字段 | 00.5% | 00.7% (23) | 00.8% (17) | 00.5% (21) | 00.2% (26) | 00.4% (20) | 00.6% (15) | |
97年 | 10 | 17 | 6 | 6 | 19 | 39 | |||
[20] | 比赛 | 00.4% | 00.5% (26) | 00.4% (24) | 00.7% (17) | 00.4% (21) | 00.6% (17) | 00.3% (23) | |
81年 | 7 | 8 | 8 | 10 | 26 | 22 | |||
[21] | relpath | 00.4% | 00.8% (22) | 00.3% (29) | 00.8% (15) | 00.5% (18) | 00.3% (22) | 00.3% (21) | |
81年 | 12 | 7 | 10 | 14 | 15 | 23 | |||
[22] | memleak | 00.4% | 01.1% (18) | 00.2% (33) | 00.4% (22) | 00.5% (19) | 00.3% (23) | 00.2% (27) | |
66年 | 16 | 5 | 5 | 13 | 15 | 12 | |||
[23] | crlf | 00.3% | … | 00.2% (31) | 00.2% (26) | 00.5% (20) | 00.4% (21) | 00.3% (20) | |
62年 | 0 | 5 | 2 | 13 | 18 | 24 | |||
[24] | msdos-device | 00.3% | 01.0% (19) | 00.6% (19) | 00.9% (14) | 00.2% (27) | 00.2% (28) | 00.0% (35) | |
57 | 15 | 13 | 11 | 6 | 10 | 2 | |||
[25] | 上传 | 00.3% | … | 00.0% (35) | 00.1% (30) | 00.2% (25) | 00.5% (18) | 00.3% (22) | |
54 | 0 | 1 | 1 | 6 | 23 | 23 | |||
[26] | 兰德 | 00.3% | 01.2% (15) | 00.6% (20) | 00.3% (24) | 00.2% (32) | 00.0% (35) | 00.2% (25) | |
52 | 17 | 12 | 3 | 4 | 2 | 14 | |||
[27] | 恶搞 | 00.3% | 01.0% (20) | 00.3% (27) | 00.1% (33) | 00.1% (33) | 00.2% (26) | 00.2% (26) | |
51 | 15 | 7 | 1 | 3 | 11 | 14 | |||
[28] | 沙盒 | 00.3% | 01.2% (14) | 01.0% (16) | … | 00.2% (28) | 00.0% (34) | 00.1% (33) | |
50 | 17 | 22 | 0 | 5 | 2 | 4 | |||
[29] | 默认的 | 00.3% | 01.1% (16) | 00.7% (18) | 00.1% (32) | 00.2% (24) | 00.1% (33) | 00.1% (29) | |
49 | 16 | 16 | 1 | 6 | 3 | 7 | |||
[30] | signedness | 00.2% | 00.1% (30) | 00.4% (23) | 00.8% (16) | 00.2% (22) | 00.3% (24) | 00.1% (30) | |
42 | 1 | 8 | 9 | 6 | 12 | 6 | |||
[31] | CF | 00.2% | 00.7% (24) | 00.3% (30) | 00.2% (27) | … | 00.1% (31) | 00.1% (28) | |
33 | 10 | 7 | 2 | 0 | 4 | 10 | |||
[32] | eval-inject | 00.2% | … | 00.0% (36) | … | 00.0% (35) | 00.2% (25) | 00.3% (24) | |
31日 | 0 | 1 | 0 | 1 | 11 | 18 | |||
[33] | dos-release | 00.2% | 00.9% (21) | 00.5% (21) | 00.2% (28) | 00.2% (31) | … | … | |
30. | 13 | 10 | 2 | 5 | 0 | 0 | |||
[34] | 设计 | 00.1% | 00.6% (25) | 00.4% (22) | 00.1% (31) | 00.0% (34) | 00.1% (32) | 00.0% (34) | |
23 | 8 | 8 | 1 | 1 | 3 | 2 | |||
[35] | 双重释放 | 00.1% | … | 00.1% (34) | 00.3% (23) | 00.2% (23) | 00.1% (30) | 00.1% (32) | |
22 | 0 | 2 | 4 | 6 | 5 | 5 | |||
[36] | CSRF | 00.1% | … | 00.0% (37) | … | 00.2% (30) | 00.2% (29) | 00.1% (31) | |
19 | 0 | 1 | 0 | 5 | 8 | 5 | |||
[37] | 类型检查 | 00.1% | 00.4% (27) | 00.3% (28) | … | … | 00.0% (36) | 00.0% (36) | |
15 | 6 | 7 | 0 | 0 | 1 | 1 | |||
未知/未指明的项目 | |||||||||
n /一个 | unk | 09.3% | 07.9% | 07.1% | 07.0% | 08.3% | 08.9% | 11.2% | |
1743年 | 113年 | 151年 | 83年 | 211年 | 405年 | 780年 | |||
n /一个 | 其他 | 15.0% | 16.7% | 19.0% | 11.9% | 17.2% | 13.3% | 14.4% | |
2826年 | 239年 | 406年 | 142年 | 437年 | 605年 | 997年 | |||
n /一个 | undiag | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | |
1 | 0 | 0 | 0 | 0 | 1 | 0 | |||
n /一个 | 未指定 | 05.8% | 00.1% | 02.8% | 19.8% | 11.1% | 11.1% | 00.2% | |
1100年 | 2 | 59 | 236年 | 283年 | 506年 | 14 |
的前N的漏洞,每年的总百分比表标识整体漏洞。例如,图45.0为前5名说,前5名占45%的所有报告的漏洞。这提供了一个粗略的估计报告不同的漏洞。
前n | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 |
---|---|---|---|---|---|---|---|
5 | 46.1 | 41.5 | 43.6 | 39.4 | 39.9 | 46.8 | 57.5 |
10 | 57.3 | 56.3 | 55 | 50.2 | 51.7 | 55.8 | 65.9 |
排名 | 缺陷 | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 | |
---|---|---|---|---|---|---|---|---|---|
总 | 4893年 | 443年 | 664年 | 530年 | 745年 | 1216年 | 1295年 | ||
[1] | 缓冲区 | 19.6% | 21.0%(1) | 26.8%(1) | 24.7%(1) | 20.4%(1) | 16.0%(1) | 16.1%(1) | |
958年 | 93年 | 178年 | 131年 | 152年 | 195年 | 209年 | |||
[2] | 链接 | 03.8% | 07.4%(2) | 03.3%(4) | 04.2%(2) | 05.1%(2) | 04.2%(2) | 01.5%(8) | |
186年 | 33 | 22 | 22 | 38 | 51 | 20. | |||
[3] | dos-malform | 03.7% | 05.6%(3) | 06.2%(2) | 02.6%(4) | 04.4%(4) | 01.8%(7) | 03.6%(4) | |
182年 | 25 | 41 | 14 | 33 | 22 | 47 | |||
[4] | XSS | 03.4% | 01.6% (14) | 04.4%(3) | 03.0%(3) | 01.5%(7) | 04.2%(3) | 04.2%(3) | |
168年 | 7 | 29日 | 16 | 11 | 51 | 54 | |||
[5] | int-overflow | 02.9% | … | 01.2% (12) | 02.3%(6) | 04.6%(3) | 02.1%(6) | 04.7%(2) | |
140年 | 0 | 8 | 12 | 34 | 25 | 61年 | |||
[6] | 格式字符串 | 02.3% | 05.2%(4) | 01.5%(9) | 02.3%(5) | 02.8%(5) | 02.4%(5) | 01.5%(9) | |
114年 | 23 | 10 | 12 | 21 | 29日 | 19 | |||
[7] | 我感到 | 01.9% | 04.1%(5) | 02.3%(6) | 00.8% (14) | 00.8% (13) | 02.5%(4) | 01.6%(5) | |
95年 | 18 | 15 | 4 | 6 | 31日 | 21 | |||
[8] | 烫 | 01.7% | 04.1%(6) | 02.1%(8) | 01.1%(9) | 01.1%(9) | 01.6%(8) | 01.3% (11) | |
83年 | 18 | 14 | 6 | 8 | 20. | 17 | |||
[9] | 点 | 01.4% | 01.6% (12) | 01.5%(10) | 01.1%(8) | 01.6%(6) | 01.2% (11) | 01.4%(10) | |
68年 | 7 | 10 | 6 | 12 | 15 | 18 | |||
[10] | infoleak | 01.3% | 00.9% (19) | 01.2% (13) | 01.1% (11) | 01.1%(10) | 01.3%(10) | 01.6%(6) | |
63年 | 4 | 8 | 6 | 8 | 16 | 21 | |||
[11] | metachar | 01.2% | 02.0%(9) | 02.6%(5) | 00.8% (13) | 00.7% (17) | 01.2% (12) | 00.8% (13) | |
60 | 9 | 17 | 4 | 5 | 15 | 10 | |||
[12] | 比赛 | 01.1% | 01.1% (17) | 00.9% (16) | 00.4% (19) | 00.9% (11) | 01.6%(9) | 01.1% (12) | |
53 | 5 | 6 | 2 | 7 | 19 | 14 | |||
[13] | sql-inject | 01.0% | 00.2% (28) | 00.6% (19) | 01.1%(7) | 00.7% (16) | 00.9% (14) | 01.6%(7) | |
48 | 1 | 4 | 6 | 5 | 11 | 21 | |||
[14] | 地下室 | 00.8% | 01.6% (11) | 01.4% (11) | 01.1%(10) | 00.4% (18) | 00.4% (18) | 00.6% (15) | |
38 | 7 | 9 | 6 | 3 | 5 | 8 | |||
[15] | memleak | 00.8% | 02.0%(10) | 00.6% (18) | 00.8% (16) | 00.9% (12) | 00.9% (13) | 00.2% (24) | |
38 | 9 | 4 | 4 | 7 | 11 | 3 | |||
[16] | 沙盒 | 00.7% | 02.7%(7) | 02.1%(7) | … | 00.1% (22) | 00.2% (28) | 00.2% (23) | |
32 | 12 | 14 | 0 | 1 | 2 | 3 | |||
[17] | relpath | 00.6% | 01.6% (13) | 00.3% (25) | 00.4% (18) | 01.1%(8) | 00.2% (25) | 00.7% (14) | |
31日 | 7 | 2 | 2 | 8 | 3 | 9 | |||
[18] | dos-flood | 00.6% | 02.5%(8) | 00.6% (21) | 00.2% (24) | 00.3% (21) | 00.2% (27) | 00.6% (16) | |
29日 | 11 | 4 | 1 | 2 | 3 | 8 | |||
[19] | 身份验证 | 00.5% | 01.4% (16) | 01.1% (14) | 00.6% (17) | 00.3% (20) | 00.3% (19) | 00.3% (19) | |
26 | 6 | 7 | 3 | 2 | 4 | 4 | |||
[20] | signedness | 00.5% | 00.2% (23) | 00.9% (15) | 00.9% (12) | 00.4% (19) | 00.6% (15) | 00.2% (22) | |
25 | 1 | 6 | 5 | 3 | 7 | 3 | |||
[21] | 通过 | 00.5% | 00.2% (26) | 00.8% (17) | 00.2% (23) | 00.8% (14) | 00.3% (22) | 00.5% (17) | |
23 | 1 | 5 | 1 | 6 | 4 | 6 | |||
[22] | 双重释放 | 00.4% | … | 00.3% (30) | 00.8% (15) | 00.8% (15) | 00.3% (23) | 00.3% (18) | |
20. | 0 | 2 | 4 | 6 | 4 | 4 | |||
[23] | 兰德 | 00.3% | 01.4% (15) | 00.5% (22) | 00.2% (21) | 00.1% (24) | … | 00.2% (28) | |
13 | 6 | 3 | 1 | 1 | 0 | 2 | |||
[24] | crlf | 00.3% | … | 00.5% (23) | 00.2% (26) | … | 00.4% (17) | 00.3% (21) | |
13 | 0 | 3 | 1 | 0 | 5 | 4 | |||
[25] | 恶搞 | 00.2% | 00.2% (24) | 00.3% (27) | … | … | 00.3% (24) | 00.3% (20) | |
11 | 1 | 2 | 0 | 0 | 4 | 4 | |||
[26] | 表单字段 | 00.2% | 00.5% (22) | 00.3% (28) | 00.2% (20) | … | 00.4% (16) | … | |
10 | 2 | 2 | 1 | 0 | 5 | 0 | |||
[27] | 默认的 | 00.2% | 00.2% (27) | 00.5% (24) | … | 00.1% (23) | 00.2% (26) | 00.2% (30) | |
10 | 1 | 3 | 0 | 1 | 3 | 2 | |||
[28] | CF | 00.2% | 00.9% (20) | 00.2% (31) | 00.2% (25) | … | … | 00.2% (25) | |
9 | 4 | 1 | 1 | 0 | 0 | 3 | |||
[29] | 类型检查 | 00.2% | 00.7% (21) | 00.6% (20) | … | … | 00.1% (30) | … | |
8 | 3 | 4 | 0 | 0 | 1 | 0 | |||
[30] | dos-release | 00.1% | 00.9% (18) | 00.3% (26) | 00.2% (22) | … | … | … | |
7 | 4 | 2 | 1 | 0 | 0 | 0 | |||
[31] | eval-inject | 00.1% | … | … | … | … | 00.3% (20) | 00.2% (29) | |
6 | 0 | 0 | 0 | 0 | 4 | 2 | |||
[32] | php-include | 00.1% | … | … | … | … | 00.3% (21) | 00.2% (27) | |
6 | 0 | 0 | 0 | 0 | 4 | 2 | |||
[33] | 设计 | 00.1% | 00.2% (25) | 00.3% (29) | 00.2% (28) | … | 00.1% (29) | … | |
5 | 1 | 2 | 1 | 0 | 1 | 0 | |||
[34] | CSRF | 00.0% | … | … | … | … | 00.1% (31) | 00.1% (31) | |
2 | 0 | 0 | 0 | 0 | 1 | 1 | |||
[35] | webroot目录 | 00.0% | … | … | … | … | … | 00.2% (26) | |
2 | 0 | 0 | 0 | 0 | 0 | 2 | |||
[36] | msdos-device | 00.0% | … | … | 00.2% (27) | … | … | … | |
1 | 0 | 0 | 1 | 0 | 0 | 0 | |||
[37] | 上传 | 00.0% | … | … | … | … | 00.1% (32) | … | |
1 | 0 | 0 | 0 | 0 | 1 | 0 | |||
未知/未指明的项目 | |||||||||
n /一个 | unk | 16.9% | 12.4% | 12.5% | 10.6% | 12.3% | 16.1% | 26.8% | |
829年 | 55 | 83年 | 56 | 92年 | 196年 | 347年 | |||
n /一个 | 其他 | 17.3% | 15.3% | 15.8% | 12.1% | 12.1% | 14.9% | 26.2% | |
847年 | 68年 | 105年 | 64年 | 90年 | 181年 | 339年 | |||
n /一个 | undiag | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.1% | 00.0% | |
1 | 0 | 0 | 0 | 0 | 1 | 0 | |||
n /一个 | 未指定 | 12.9% | 00.2% | 05.9% | 25.7% | 24.6% | 21.9% | 00.5% | |
632年 | 1 | 39 | 136年 | 183年 | 266年 | 7 |
的前N的漏洞,每年的总百分比表标识整体漏洞。例如,图45.0为前5名说,前5名占45%的所有报告的漏洞。这提供了一个粗略的估计报告不同的漏洞。
前n | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 |
---|---|---|---|---|---|---|---|
5 | 33.4 | 43.3 | 43.3 | 36.8 | 37.3 | 29.3 | 30.2 |
10 | 42 | 56.6 | 52.8 | 43.5 | 43.7 | 37.7 | 37.8 |
排名 | 缺陷 | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 | |
---|---|---|---|---|---|---|---|---|---|
总 | OS-ven | 4893年 | 443年 | 664年 | 530年 | 745年 | 1216年 | 1295年 | |
其他 | 13916年 | 989年 | 1474年 | 660年 | 1801年 | 3343年 | 5649年 | ||
[1] | XSS | 03.4% | 01.6% (12) | 04.4%(3) | 03.0%(3) | 01.5%(7) | 04.2%(2) | 04.2%(3) | |
168年 | 7 | 29日 | 16 | 11 | 51 | 54 | |||
17.4% | 02.4%(8) | 10.7%(2) | 11.1%(2) | 14.8%(1) | 20.3%(1) | 21.7%(1) | |||
2427年 | 24 | 158年 | 73年 | 267年 | 677年 | 1228年 | |||
[2] | 缓冲区 | 19.6% | 21.0%(1) | 26.8%(1) | 24.7%(1) | 20.4%(1) | 16.0%(1) | 16.1%(1) | |
958年 | 93年 | 178年 | 131年 | 152年 | 195年 | 209年 | |||
10.1% | 18.8%(1) | 17.5%(1) | 20.8%(1) | 13.3%(2) | 07.5%(3) | 05.9%(4) | |||
1403年 | 186年 | 258年 | 137年 | 240年 | 250年 | 332年 | |||
[3] | sql-inject | 01.0% | 00.2% (25) | 00.6% (21) | 01.1%(7) | 00.7% (17) | 00.9% (14) | 01.6%(5) | |
48 | 1 | 4 | 6 | 5 | 11 | 21 | |||
12.3% | 00.5% (25) | 02.3%(8) | 04.5%(3) | 07.6%(3) | 17.3%(2) | 16.3%(2) | |||
1706年 | 5 | 34 | 30. | 137年 | 577年 | 923年 | |||
[4] | php-include | 00.1% | … | … | … | … | 00.3% (19) | 00.2% (28) | |
6 | 0 | 0 | 0 | 0 | 4 | 2 | |||
07.6% | 00.1% (30) | 00.5% (22) | 01.8%(10) | 02.0%(8) | 02.8%(6) | 16.1%(3) | |||
1059年 | 1 | 7 | 12 | 36 | 92年 | 911年 | |||
[5] | 点 | 01.4% | 01.6% (13) | 01.5%(9) | 01.1%(10) | 01.6%(6) | 01.2% (11) | 01.4%(10) | |
68年 | 7 | 10 | 6 | 12 | 15 | 18 | |||
05.9% | 12.1%(2) | 06.8%(3) | 04.2%(4) | 05.2%(4) | 05.4%(4) | 05.3%(5) | |||
820年 | 120年 | One hundred. | 28 | 94年 | 181年 | 297年 | |||
[6] | infoleak | 01.3% | 00.9% (20) | 01.2% (12) | 01.1% (11) | 01.1%(8) | 01.3%(10) | 01.6%(7) | |
63年 | 4 | 8 | 6 | 8 | 16 | 21 | |||
04.2% | 03.3%(6) | 05.5%(4) | 04.1%(5) | 05.0%(5) | 04.8%(5) | 03.4%(6) | |||
583年 | 33 | 81年 | 27 | 90年 | 159年 | 193年 | |||
[7] | dos-malform | 03.7% | 05.6%(3) | 06.2%(2) | 02.6%(4) | 04.4%(4) | 01.8%(7) | 03.6%(4) | |
182年 | 25 | 41 | 14 | 33 | 22 | 47 | |||
02.4% | 04.4%(5) | 04.7%(5) | 02.4%(8) | 02.9%(6) | 01.8%(8) | 01.7%(7) | |||
339年 | 44 | 70年 | 16 | 53 | 61年 | 95年 | |||
[8] | 链接 | 03.8% | 07.4%(2) | 03.3%(4) | 04.2%(2) | 05.1%(2) | 04.2%(3) | 01.5%(8) | |
186年 | 33 | 22 | 22 | 38 | 51 | 20. | |||
01.1% | 03.1%(7) | 01.6% (14) | 03.0%(6) | 01.9%(9) | 01.1% (12) | 00.2% (24) | |||
155年 | 31日 | 23 | 20. | 34 | 36 | 11 | |||
[9] | 格式字符串 | 02.3% | 05.2%(4) | 01.5%(10) | 02.3%(5) | 02.8%(5) | 02.4%(5) | 01.5%(9) | |
114年 | 23 | 10 | 12 | 21 | 29日 | 19 | |||
01.5% | 02.3%(9) | 02.0% (11) | 03.0%(7) | 02.3%(7) | 01.4%(9) | 00.8% (12) | |||
203年 | 23 | 29日 | 20. | 41 | 47 | 43 | |||
[10] | 地下室 | 00.8% | 01.6% (14) | 01.4% (11) | 01.1%(9) | 00.4% (18) | 00.4% (16) | 00.6% (15) | |
38 | 7 | 9 | 6 | 3 | 5 | 8 | |||
01.7% | 04.9%(3) | 03.3%(6) | 01.8%(9) | 01.1% (14) | 01.9%(7) | 00.8% (11) | |||
240年 | 48 | 49 | 12 | 19 | 64年 | 48 | |||
[11] | 我感到 | 01.9% | 04.1%(5) | 02.3%(6) | 00.8% (16) | 00.8% (15) | 02.5%(4) | 01.6%(6) | |
95年 | 18 | 15 | 4 | 6 | 31日 | 21 | |||
01.1% | 01.8% (11) | 02.1%(10) | 01.4% (13) | 01.5% (11) | 01.1% (11) | 00.6% (14) | |||
154年 | 18 | 31日 | 9 | 27 | 36 | 33 | |||
[12] | 烫 | 01.7% | 04.1%(6) | 02.1%(8) | 01.1%(8) | 01.1%(9) | 01.6%(8) | 01.3% (11) | |
83年 | 18 | 14 | 6 | 8 | 20. | 17 | |||
01.1% | 02.1%(10) | 01.7% (12) | 01.4% (12) | 00.9% (15) | 00.8% (15) | 01.0%(9) | |||
158年 | 21 | 25 | 9 | 16 | 28 | 59 | |||
[13] | metachar | 01.2% | 02.0%(9) | 02.6%(5) | 00.8% (15) | 00.7% (16) | 01.2% (12) | 00.8% (13) | |
60 | 9 | 17 | 4 | 5 | 15 | 10 | |||
01.2% | 04.7%(4) | 02.6%(7) | 00.6% (19) | 01.2% (13) | 01.3%(10) | 00.3% (19) | |||
173年 | 46 | 39 | 4 | 21 | 44 | 19 | |||
[14] | int-overflow | 02.9% | … | 01.2% (13) | 02.3%(6) | 04.6%(3) | 02.1%(6) | 04.7%(2) | |
140年 | 0 | 8 | 12 | 34 | 25 | 61年 | |||
00.4% | 00.1% (31) | … | 00.6% (20) | 00.7% (17) | 00.3% (21) | 00.4% (16) | |||
50 | 1 | 0 | 4 | 13 | 11 | 21 | |||
[15] | 身份验证 | 00.5% | 01.4% (15) | 01.1% (14) | 00.6% (17) | 00.3% (20) | 00.3% (22) | 00.3% (19) | |
26 | 6 | 7 | 3 | 2 | 4 | 4 | |||
00.9% | 01.6% (13) | 01.4% (15) | 00.5% (21) | 00.8% (16) | 00.5% (17) | 01.0%(10) | |||
129年 | 16 | 20. | 3 | 15 | 17 | 58 | |||
[16] | dos-flood | 00.6% | 02.5%(8) | 00.6% (20) | 00.2% (26) | 00.3% (21) | 00.2% (27) | 00.6% (16) | |
29日 | 11 | 4 | 1 | 2 | 3 | 8 | |||
00.8% | 01.8% (12) | 02.2%(9) | 00.8% (17) | 01.6%(10) | 00.2% (23) | 00.3% (20) | |||
109年 | 18 | 32 | 5 | 29日 | 8 | 17 | |||
[17] | 通过 | 00.5% | 00.2% (27) | 00.8% (17) | 00.2% (20) | 00.8% (13) | 00.3% (23) | 00.5% (17) | |
23 | 1 | 5 | 1 | 6 | 4 | 6 | |||
00.8% | 01.5% (16) | 01.6% (13) | 00.2% (26) | 01.2% (12) | 01.0% (14) | 00.3% (18) | |||
112年 | 15 | 23 | 1 | 22 | 32 | 19 | |||
[18] | webroot目录 | 00.0% | … | … | … | … | … | 00.2% (29) | |
2 | 0 | 0 | 0 | 0 | 0 | 2 | |||
00.8% | 00.2% (29) | 00.3% (26) | 00.5% (22) | 00.3% (25) | 01.0% (13) | 01.2%(8) | |||
115年 | 2 | 5 | 3 | 5 | 33 | 67年 | |||
[19] | 表单字段 | 00.2% | 00.5% (22) | 00.3% (26) | 00.2% (23) | … | 00.4% (18) | … | |
10 | 2 | 2 | 1 | 0 | 5 | 0 | |||
00.6% | 00.8% (20) | 01.0% (16) | 00.8% (16) | 00.3% (23) | 00.4% (18) | 00.7% (13) | |||
87年 | 8 | 15 | 5 | 6 | 14 | 39 | |||
[20] | relpath | 00.6% | 01.6% (11) | 00.3% (25) | 00.4% (19) | 01.1%(10) | 00.2% (25) | 00.7% (14) | |
31日 | 7 | 2 | 2 | 8 | 3 | 9 | |||
00.4% | 00.5% (24) | 00.3% (25) | 01.2% (14) | 00.3% (19) | 00.4% (20) | 00.2% (22) | |||
50 | 5 | 5 | 8 | 6 | 12 | 14 | |||
[21] | 比赛 | 01.1% | 01.1% (17) | 00.9% (15) | 00.4% (18) | 00.9% (11) | 01.6%(9) | 01.1% (12) | |
53 | 5 | 6 | 2 | 7 | 19 | 14 | |||
00.2% | 00.2% (28) | 00.1% (31) | 00.9% (15) | 00.2% (32) | 00.2% (26) | 00.1% (27) | |||
28 | 2 | 2 | 6 | 3 | 7 | 8 | |||
[22] | memleak | 00.8% | 02.0%(10) | 00.6% (18) | 00.8% (14) | 00.9% (12) | 00.9% (13) | 00.2% (23) | |
38 | 9 | 4 | 4 | 7 | 11 | 3 | |||
00.2% | 00.7% (21) | 00.1% (33) | 00.2% (30) | 00.3% (22) | 00.1% (29) | 00.2% (26) | |||
28 | 7 | 1 | 1 | 6 | 4 | 9 | |||
[23] | crlf | 00.3% | … | 00.5% (24) | 00.2% (27) | … | 00.4% (17) | 00.3% (18) | |
13 | 0 | 3 | 1 | 0 | 5 | 4 | |||
00.4% | … | 00.1% (29) | 00.2% (27) | 00.7% (18) | 00.4% (19) | 00.4% (17) | |||
49 | 0 | 2 | 1 | 13 | 13 | 20. | |||
[24] | msdos-device | 00.0% | … | … | 00.2% (21) | … | … | … | |
1 | 0 | 0 | 1 | 0 | 0 | 0 | |||
00.4% | 01.5% (14) | 00.9% (17) | 01.5% (11) | 00.3% (20) | 00.3% (22) | 00.0% (32) | |||
56 | 15 | 13 | 10 | 6 | 10 | 2 | |||
[25] | 上传 | 00.0% | … | … | … | … | 00.1% (32) | … | |
1 | 0 | 0 | 0 | 0 | 1 | 0 | |||
00.4% | … | 00.1% (35) | 00.2% (29) | 00.3% (21) | 00.7% (16) | 00.4% (15) | |||
53 | 0 | 1 | 1 | 6 | 22 | 23 | |||
[26] | 兰德 | 00.3% | 01.4% (16) | 00.5% (23) | 00.2% (28) | 00.1% (22) | … | 00.2% (30) | |
13 | 6 | 3 | 1 | 1 | 0 | 2 | |||
00.3% | 01.1% (18) | 00.6% (19) | 00.3% (23) | 00.2% (30) | 00.1% (31) | 00.2% (23) | |||
39 | 11 | 9 | 2 | 3 | 2 | 12 | |||
[27] | 恶搞 | 00.2% | 00.2% (23) | 00.3% (28) | … | … | 00.3% (24) | 00.3% (21) | |
11 | 1 | 2 | 0 | 0 | 4 | 4 | |||
00.3% | 01.4% (17) | 00.3% (27) | 00.2% (31) | 00.2% (29) | 00.2% (25) | 00.2% (25) | |||
40 | 14 | 5 | 1 | 3 | 7 | 10 | |||
[28] | 沙盒 | 00.7% | 02.7%(7) | 02.1%(7) | … | 00.1% (24) | 00.2% (28) | 00.2% (24) | |
32 | 12 | 14 | 0 | 1 | 2 | 3 | |||
00.1% | 00.5% (26) | 00.5% (21) | … | 00.2% (28) | … | 00.0% (36) | |||
18 | 5 | 8 | 0 | 4 | 0 | 1 | |||
[29] | 默认的 | 00.2% | 00.2% (24) | 00.5% (22) | … | 00.1% (23) | 00.2% (26) | 00.2% (26) | |
10 | 1 | 3 | 0 | 1 | 3 | 2 | |||
00.3% | 01.5% (15) | 00.9% (18) | 00.2% (25) | 00.3% (27) | … | 00.1% (29) | |||
39 | 15 | 13 | 1 | 5 | 0 | 5 | |||
[30] | signedness | 00.5% | 00.2% (28) | 00.9% (16) | 00.9% (12) | 00.4% (19) | 00.6% (15) | 00.2% (25) | |
25 | 1 | 6 | 5 | 3 | 7 | 3 | |||
00.1% | … | 00.1% (30) | 00.6% (18) | 00.2% (31) | 00.1% (28) | 00.1% (31) | |||
17 | 0 | 2 | 4 | 3 | 5 | 3 | |||
[31] | CF | 00.2% | 00.9% (19) | 00.2% (31) | 00.2% (25) | … | … | 00.2% (22) | |
9 | 4 | 1 | 1 | 0 | 0 | 3 | |||
00.2% | 00.6% (23) | 00.4% (23) | 00.2% (24) | … | 00.1% (30) | 00.1% (28) | |||
24 | 6 | 6 | 1 | 0 | 4 | 7 | |||
[32] | eval-inject | 00.1% | … | … | … | … | 00.3% (20) | 00.2% (27) | |
6 | 0 | 0 | 0 | 0 | 4 | 2 | |||
00.2% | … | 00.1% (34) | … | 00.1% (34) | 00.2% (24) | 00.3% (21) | |||
25 | 0 | 1 | 0 | 1 | 7 | 16 | |||
[33] | dos-release | 00.1% | 00.9% (18) | 00.3% (27) | 00.2% (24) | … | … | … | |
7 | 4 | 2 | 1 | 0 | 0 | 0 | |||
00.2% | 00.9% (19) | 00.5% (20) | 00.2% (28) | 00.3% (26) | … | … | |||
23 | 9 | 8 | 1 | 5 | 0 | 0 | |||
[34] | 设计 | 00.1% | 00.2% (26) | 00.3% (30) | 00.2% (22) | … | 00.1% (29) | … | |
5 | 1 | 2 | 1 | 0 | 1 | 0 | |||
00.1% | 00.7% (22) | 00.4% (24) | … | 00.1% (33) | 00.1% (32) | 00.0% (33) | |||
18 | 7 | 6 | 0 | 1 | 2 | 2 | |||
[35] | 双重释放 | 00.4% | … | 00.3% (29) | 00.8% (13) | 00.8% (14) | 00.3% (21) | 00.3% (20) | |
20. | 0 | 2 | 4 | 6 | 4 | 4 | |||
00.0% | … | … | … | … | 00.0% (33) | 00.0% (34) | |||
2 | 0 | 0 | 0 | 0 | 1 | 1 | |||
[36] | CSRF | 00.0% | … | … | … | … | 00.1% (30) | 00.1% (31) | |
2 | 0 | 0 | 0 | 0 | 1 | 1 | |||
00.1% | … | 00.1% (32) | … | 00.3% (24) | 00.2% (27) | 00.1% (30) | |||
17 | 0 | 1 | 0 | 5 | 7 | 4 | |||
[37] | 类型检查 | 00.2% | 00.7% (21) | 00.6% (19) | … | … | 00.1% (31) | … | |
8 | 3 | 4 | 0 | 0 | 1 | 0 | |||
00.1% | 00.3% (27) | 00.2% (28) | … | … | … | 00.0% (35) | |||
7 | 3 | 3 | 0 | 0 | 0 | 1 | |||
未知/未指明的项目 | |||||||||
n /一个 | unk | 16.9% | 12.4% | 12.5% | 10.6% | 12.3% | 16.1% | 26.8% | |
829年 | 55 | 83年 | 56 | 92年 | 196年 | 347年 | |||
06.6% | 05.9% | 04.6% | 04.1% | 06.6% | 06.3% | 07.7% | |||
914年 | 58 | 68年 | 27 | 119年 | 209年 | 433年 | |||
n /一个 | 其他 | 17.3% | 15.3% | 15.8% | 12.1% | 12.1% | 14.9% | 26.2% | |
847年 | 68年 | 105年 | 64年 | 90年 | 181年 | 339年 | |||
14.2% | 17.3% | 20.4% | 11.8% | 19.3% | 12.7% | 11.6% | |||
1979年 | 171年 | 301年 | 78年 | 347年 | 424年 | 658年 | |||
n /一个 | undiag | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.1% | 00.0% | |
1 | 0 | 0 | 0 | 0 | 1 | 0 | |||
00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | |||
0 | 0 | 0 | 0 | 0 | 0 | 0 | |||
n /一个 | 未指定 | 12.9% | 00.2% | 05.9% | 25.7% | 24.6% | 21.9% | 00.5% | |
632年 | 1 | 39 | 136年 | 183年 | 266年 | 7 | |||
03.4% | 00.1% | 01.4% | 15.2% | 05.6% | 07.2% | 00.1% | |||
468年 | 1 | 20. | One hundred. | One hundred. | 240年 | 7 |
的前N的漏洞,每年的总百分比表标识整体漏洞。例如,图45.0为前5名说,前5名占45%的所有报告的漏洞。这提供了一个粗略的估计报告不同的漏洞。
前n | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 |
---|---|---|---|---|---|---|---|
5 | 33.4 | 43.3 | 43.3 | 36.8 | 37.3 | 29.3 | 30.2 |
53.3 | 44.9 | 45.2 | 44.7 | 45.9 | 55.3 | 65.3 | |
10 | 42 | 56.6 | 52.8 | 43.5 | 43.7 | 37.7 | 37.8 |
64.3 | 58.1 | 57.7 | 56.7 | 56.6 | 64.5 | 73.6 |
排名 | 缺陷 | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 | |
---|---|---|---|---|---|---|---|---|---|
总 | 开放 | 原始数据中 | |||||||
关闭 | 原始数据中 | ||||||||
[1] | 缓冲区 | 19.7% | 20.1%(1) | 24.6%(1) | 25.0%(1) | 25.3%(1) | 14.6%(1) | 17.2%(1) | |
19.6% | 20.2%(1) | 27.6%(1) | 25.7%(1) | 15.0%(1) | 18.5%(1) | 15.7%(1) | |||
[2] | 链接 | 06.3% | 14.2%(2) | 04.9%(3) | 04.9%(2) | 08.7%(2) | 06.4%(2) | 02.5%(6) | |
01.4% | 01.0% (18) | 01.8%(9) | 03.0%(2) | 01.9%(6) | 00.8%(8) | 01.2%(9) | |||
[3] | dos-malform | 03.2% | 02.7%(7) | 04.5%(4) | 02.6%(6) | 03.5%(5) | 01.7%(8) | 05.1%(3) | |
04.8% | 09.1%(2) | 08.1%(2) | 02.5%(3) | 07.1%(2) | 02.1%(4) | 03.1%(4) | |||
[4] | XSS | 04.6% | 02.7%(8) | 06.0%(2) | 03.0%(5) | 01.7%(7) | 05.5%(3) | 06.2%(2) | |
02.3% | 00.5% (22) | 03.6%(4) | 02.5%(4) | 00.8% (11) | 02.1%(3) | 03.1%(3) | |||
[5] | 格式字符串 | 04.1% | 08.7%(3) | 03.0%(5) | 03.0%(4) | 05.2%(3) | 03.8%(4) | 03.0%(5) | |
00.8% | 01.9%(9) | 00.6% (18) | 02.0%(5) | 00.8%(8) | 00.8% (11) | 00.2% (19) | |||
[6] | int-overflow | 02.7% | … | 02.2%(7) | 03.4%(3) | 04.1%(4) | 02.2%(6) | 03.4%(4) | |
01.9% | … | … | 01.0%(9) | 03.4%(3) | 00.8%(10) | 04.1%(2) | |||
[7] | 我感到 | 02.2% | 05.5%(5) | 01.9%(10) | 01.5% (12) | 01.2% (12) | 02.3%(5) | 01.9%(7) | |
01.7% | 01.9%(10) | 03.0%(6) | … | 00.4% (13) | 03.3%(2) | 01.2%(10) | |||
[8] | 烫 | 02.1% | 05.5%(4) | 01.1% (14) | 01.9%(8) | 01.7%(8) | 02.2%(7) | 01.3% (11) | |
01.6% | 02.4%(6) | 03.3%(5) | 00.5% (12) | 00.4% (14) | 00.8% (13) | 01.8%(7) | |||
[9] | 点 | 01.5% | 00.5% (17) | 01.9%(8) | 01.1% (16) | 02.0%(6) | 01.5% (11) | 01.7%(8) | |
01.1% | 01.9%(8) | 00.9% (13) | 01.0%(8) | 01.5%(7) | 00.5% (17) | 01.3%(8) | |||
[10] | infoleak | 01.1% | 00.5% (20) | 01.5% (12) | 01.1% (15) | 01.2% (11) | 01.0% (14) | 01.3% (12) | |
01.4% | 01.4% (15) | 00.9% (12) | 01.0%(7) | 00.4% (18) | 01.5%(5) | 02.1%(6) | |||
[11] | metachar | 01.7% | 03.2%(6) | 03.0%(6) | 01.5% (11) | 00.6% (15) | 01.5% (12) | 01.7%(9) | |
00.5% | 01.0% (17) | 01.2% (11) | … | 00.4% (17) | 00.5% (15) | 00.2% (23) | |||
[12] | sql-inject | 01.2% | 00.5% (19) | 00.7% (15) | 01.9%(9) | 00.9% (14) | 01.6%(9) | 01.3% (13) | |
00.9% | … | 00.6% (16) | 00.5% (18) | 00.4% (15) | … | 02.5%(5) | |||
[13] | 比赛 | 01.5% | 02.3%(9) | 01.9% (11) | 00.4% (18) | 01.5%(10) | 01.5%(10) | 01.7%(10) | |
00.3% | … | … | 00.5% (21) | … | 00.8% (14) | 00.5% (17) | |||
[14] | memleak | 00.9% | … | 00.7% (19) | 01.1% (14) | 01.5%(9) | 01.2% (13) | 00.4% (19) | |
00.7% | 04.3%(4) | 00.3% (21) | 00.5% (15) | … | 00.8%(9) | 00.2% (20) | |||
[15] | 地下室 | 00.7% | 01.8%(10) | 00.7% (17) | 01.9%(7) | … | 00.4% (21) | 00.4% (16) | |
00.8% | 01.0% (16) | 02.1%(8) | … | 00.8%(10) | 00.5% (16) | 00.7% (14) | |||
[16] | 沙盒 | 00.2% | 00.5% (15) | … | … | 00.3% (19) | 00.3% (25) | … | |
01.3% | 05.3%(3) | 04.2%(3) | … | … | … | 00.2% (24) | |||
[17] | relpath | 00.6% | 01.8% (11) | 00.7% (18) | 00.4% (19) | 00.3% (18) | 00.4% (22) | 00.4% (20) | |
00.8% | 01.4% (14) | … | 00.5% (16) | 01.9%(5) | … | 01.2% (11) | |||
[18] | dos-flood | 00.3% | 01.4% (12) | 00.4% (23) | … | … | 00.3% (23) | … | |
01.0% | 03.8%(5) | 00.9% (15) | 00.5% (17) | 00.8% (12) | 00.3% (21) | 01.0% (12) | |||
[19] | 身份验证 | 00.1% | 00.5% (16) | … | … | 00.3% (17) | … | 00.2% (23) | |
01.1% | 02.4%(7) | 02.1%(7) | 01.5%(6) | 00.4% (16) | 01.0%(6) | 00.5% (16) | |||
[20] | 通过 | 00.0% | … | … | … | … | 00.1% (27) | … | |
01.0% | 00.5% (20) | 01.5%(10) | 00.5% (13) | 02.3%(4) | 00.8%(7) | 00.8% (13) | |||
[21] | signedness | 00.8% | … | 01.9%(9) | 01.5%(10) | 00.3% (20) | 00.6% (16) | 00.6% (14) | |
00.1% | … | … | 00.5% (19) | … | 00.5% (18) | … | |||
[22] | 双重释放 | 00.5% | … | 00.4% (22) | 01.1% (13) | 00.9% (13) | 00.3% (24) | 00.4% (18) | |
00.2% | … | … | 00.5% (20) | 00.8%(9) | 00.3% (19) | … | |||
[23] | 恶搞 | 00.2% | … | 00.7% (20) | … | … | 00.4% (18) | … | |
00.3% | 00.5% (23) | … | … | … | 00.3% (20) | 00.7% (15) | |||
[24] | 兰德 | 00.2% | 00.9% (14) | 00.4% (21) | 00.4% (17) | … | … | 00.2% (24) | |
00.2% | 01.9% (11) | 00.3% (22) | … | … | … | … | |||
[25] | crlf | 00.4% | … | 01.1% (13) | … | … | 00.6% (17) | 00.6% (15) | |
00.0% | … | … | … | … | … | … | |||
[26] | 表单字段 | 00.4% | 00.5% (18) | 00.7% (16) | 00.4% (20) | … | 00.7% (15) | … | |
00.0% | 00.5% (25) | … | … | … | … | … | |||
[27] | 默认的 | 00.1% | … | … | … | 00.3% (16) | … | 00.2% (22) | |
00.3% | 00.5% (24) | 00.6% (17) | … | … | 00.8% (12) | 00.2% (21) | |||
[28] | CF | 00.1% | 00.9% (13) | … | … | … | … | … | |
00.3% | 01.0% (19) | … | 00.5% (11) | … | … | 00.5% (18) | |||
[29] | 类型检查 | 00.0% | … | … | … | … | 00.1% (28) | … | |
00.3% | 01.4% (12) | 00.9% (14) | … | … | … | … | |||
[30] | dos-release | 00.1% | 00.5% (21) | 00.4% (24) | 00.4% (21) | … | … | … | |
00.2% | 01.4% (13) | 00.3% (20) | … | … | … | … | |||
[31] | eval-inject | 00.2% | … | … | … | … | 00.4% (20) | 00.4% (17) | |
00.0% | … | … | … | … | … | … | |||
[32] | 设计 | 00.0% | … | … | … | … | … | … | |
00.2% | 00.5% (21) | 00.3% (19) | 00.5% (14) | … | 00.3% (22) | … | |||
[33] | php-include | 00.2% | … | … | … | … | 00.4% (19) | 00.2% (26) | |
00.0% | … | … | … | … | … | … | |||
[34] | CSRF | 00.1% | … | … | … | … | 00.1% (26) | 00.2% (21) | |
00.0% | … | … | … | … | … | … | |||
[35] | webroot目录 | 00.0% | … | … | … | … | … | 00.2% (25) | |
00.0% | … | … | … | … | … | 00.2% (22) | |||
[36] | msdos-device | 00.0% | … | … | … | … | … | … | |
00.0% | … | … | 00.5%(10) | … | … | … | |||
[37] | 上传 | 00.0% | … | … | … | … | 00.1% (29) | … | |
00.0% | … | … | … | … | … | … | |||
未知/未指明的项目 | |||||||||
n /一个 | unk | 09.3% | 12.3% | 10.1% | 04.5% | 07.8% | 11.8% | 07.9% | |
27.4% | 13.0% | 15.6% | 20.3% | 23.3% | 26.9% | 43.3% | |||
n /一个 | 其他 | 19.9% | 12.8% | 20.5% | 15.7% | 10.5% | 15.3% | 38.9% | |
12.9% | 18.8% | 12.9% | 05.4% | 14.7% | 11.8% | 13.4% | |||
n /一个 | undiag | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.1% | 00.0% | |
00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | 00.0% | |||
n /一个 | 未指定 | 12.5% | 00.0% | 04.1% | 21.6% | 20.3% | 20.4% | 00.4% | |
11.7% | 00.5% | 06.3% | 28.2% | 22.9% | 23.6% | 00.3% |
前n | 总 | 2001年 | 2002年 | 2003年 | 2004年 | 2005年 | 2006年 |
---|---|---|---|---|---|---|---|
5 | 37.9 | 54 | 43 | 39.3 | 46.8 | 32.6 | 34.9 |
30.3 | 42.7 | 46.8 | 35.7 | 29.7 | 27.5 | 28.5 | |
10 | 48.1 | 66.7 | 53.9 | 49.1 | 55.2 | 41.8 | 44.4 |
37.1 | 53.2 | 57.3 | 40.7 | 35.5 | 31.7 | 36.1 |