HITCON ZeroDay漏洞通報最新現況:僅有1/4比例在通知後修補

HITCON ZeroDay漏洞通報最新現況:僅有1/4比例在通知後修補 第14屆臺灣駭客年會(HITCON)社群場開跑,在多項超夯議題之外,HITCON ZeroDay也在現場公布了今年漏洞通報計畫的相關統計數據,其中SQL Injection漏洞通報仍排第一,並佔50%的高比例。 文/羅正漢 | 2018-07-27發表 臺灣最大的資安社群活動,第14屆臺灣駭客年會(HITCON)社群場於今明兩日(27日、28日)於南港展覽館展開。在今日下午的議程中,去年臺灣駭客年會社群場總召翁浩正,也針對HITCON ZeroDay漏洞通報計畫,公布最新發展現況。許多國外企業或廠商,對於漏洞通報這件事情,早已經習以為常,這也是促成正向資安環境的方式。翁浩正指出,目前HITCON ZeroDay成立已經兩週年了,國內對於漏洞通報的觀念已經慢慢在轉變。但他也表示,也許還是有人沒聽過Hitcon ZeroDay計畫,像是仍有企業寫信來問,這個平臺申請企業帳號要多少錢?因此他再次說明,HITCON ZeroDay 是「社團法人台灣駭客協會」所發起的公益計畫,成員是由協會成員及志工組成。談到漏洞平臺對於企業的幫助,翁浩正提到,像是兩年前中國漏洞通報平臺烏雲,大幅度的改變中國的資安生態,因為很多網站都是因為這樣的漏洞通報之後,而變得很安全,所以很多臺灣的駭客反應說,自從有了烏雲之後,中國的網站變得較難打了。他說,希望臺灣這邊的通報,能達到一樣的效果。翁浩正表示,目前HITCON ZeroDay註冊的使用者數量約1,500人,較今年3月增加300人,註冊的企業帳號數也達300家,多增加50家企業,而通報企業數量也達2,300家,多300家企業。現場,他公布了HITCON ZeorDay平臺最新的統計數據,今年(2018年1月至今)的所有漏洞通報的類型中,有53%的通報是SQL Injection漏洞,21%是XSS漏洞,7%是資訊洩漏,是漏洞通報中居於前三的分類。相較於去年度的結果,排名一樣,不過當時SQL Injection漏洞的比例僅39%,今年通報比重明顯大幅增加。另外,在已修復後漏洞公開的比例上為24.3%,也就是說,大約是每4件漏洞通報中,只有1件有企業修補。翁浩正指出,儘管大部分的企業還是沒有回應,但與之前的比例來看,是有緩慢增加的趨勢,看起來臺灣企業對於漏洞態度是有越來越積極的跡象。在HITCON ZeorDay漏洞通報數據的揭露之外,這次並邀請了平臺上的兩位TOP 10通報者,現身分享他們的經驗與心得。雖然兩人都是去年才開始加入通報行列,並對資安產生濃厚的興趣,但他們也表示,希望企業能更重視網站漏洞問題,畢竟通知後若能得到對方將網站問題修復的答案,也會讓他們感到成就。關於漏洞修補通報,翁浩正也再次強調,企業要能建立順暢的通報環境,因為許多漏洞通報的情況,是無法聯繫到企業窗口,漏洞也就無從修補。因此,企業在網站上,最好提供資安窗口或相關聯絡人,並要建立漏洞通報的SOP,同時也要注意網域的註冊人資訊是否正確。另外,他並表示,最近大家將會發現的現象是,有很多企業網站是委外開發,但開發團隊的品質不佳,將導致所有委外業者的所有專案,都出現相同的問題。 iThome Security

更多訊息更多資料都在這裡喔!~磷蝦油~網站排名~PPLS~南極冰洋磷蝦油~蜂王乳~關鍵字排名~智勝王~GOOGLE排名~神經滋養物質~台灣綠蜂膠~健康食品~芙婷寶~SEO~維力康~超視王~蜂王漿~保健食品~葉黃素

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *