新华三：2025年网络安全漏洞态势报告

今天分享的是：新华三：2024年网络安全漏洞态势报告

报告共计：38页

《2024年网络安全漏洞态势报告》由新华三安全攻防实验室发布，该报告全面剖析了2024年网络安全漏洞的态势，为各行业网络安全建设提供了重要参考。

1. 漏洞增长趋势：2024年新华三漏洞知识库收录的漏洞总数达40050条，较2023年增长37.9%，超危与高危漏洞占比47.8%，高危以上漏洞比2023年增长27.2%，2017 - 2024年漏洞总体呈逐年增长趋势。

2. 攻击总体态势：Web应用类漏洞占比持续居首，达44.9%，操作系统漏洞数量增长1.5倍。跨站脚本、权限许可和访问控制、信息泄露是排名前三的漏洞类型，跨站脚本占比大幅提升，注入类漏洞依然突出。

3. 各类漏洞分析

- Web应用漏洞：2024年收录17665条，增长50.5%，主要集中在跨站脚本、SQL注入和权限许可与访问控制问题，多个知名应用程序存在严重漏洞，企业文件传输工具和访问控制不当引发的漏洞问题突出。

- 操作系统漏洞：收录6556条，较2023年翻倍，权限许可和访问控制问题突出，零日漏洞攻击频繁，针对物联网操作系统的攻击增加。

- 网络设备漏洞：收录3159条，增长37.4%，缓冲区错误漏洞占比最高，针对网络安全设备的0day攻击增加，无人管理的网络设备成为攻击突破口。

- 数据库漏洞：收录471条，增长58.1%，MySQL和Microsoft SQL Server漏洞较多，主要漏洞类型为代码注入、拒绝服务和信息泄露，第三方插件成为攻击主要目标，云数据库服务导致数据泄露风险上升。

- 工控系统漏洞：收录763条，上升9.2%，缓冲区溢出、权限许可和访问控制问题突出，新技术引入扩大了攻击暴露面，黑客行动主义攻击增加。

- 云计算平台漏洞：收录1078条，增长21.4%，主要漏洞类型为权限许可和访问控制问题、代码注入、敏感信息泄露，云平台成攻击者首选，安全管理问题频发。

4. 安全建议：新华三秉承“主动安全”理念，建议及时安装补丁、隔离办公网和生产环境等。针对不同领域，如Web应用、操作系统、网络设备等，分别提出了加强身份验证、管理权限、更新补丁等具体的安全建议。

2024年网络安全漏洞形势严峻，各行业需高度重视，积极采取防范措施，提升网络安全防护能力。

以下为报告节选内容