首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

车联网漏洞信息月度通报-2018年11月

本月国家车联网信息安全漏洞共享平台(CNVD-IoV)收集整理涉及车联网的信息安全漏洞的基本情况如下:共收集和整理车联网相关漏洞152个,其中高危漏洞127个,中危漏洞25个。上述漏洞涉及行业主管部门、汽车企业、车联网相关资讯以及汽车零部件厂商等,均可对车联网用户数据、车辆数据的安全造成一定的危害。

01

漏洞分类统计

根据漏洞危害等级,本月收集的车联网安全相关漏洞情况如图1所示。

图1本月漏洞危害等级分布

根据漏洞影响对象的类型,漏洞可分为Web漏洞、APP漏洞、车载系统漏洞、车联网设备漏洞等,本月车联网漏洞包括150个Web漏洞和2个APP漏洞。

02

漏洞涉及行业

根据车联网行业分布的特征,将车联网涉及的行业分为行业主管部门、车企、车联网服务、汽车零配件厂商、客货运行业、车联网金融、车联网资讯等。涉及不同行业的漏洞分布如图2所示。

图2 本月漏洞涉及行业分布

如上图所示,目前漏洞数最多的是汽车企业的漏洞,共占有收录漏洞总数的50%。车联网资讯、汽车零部件厂商的漏洞紧随其后,分别占11%和10%。行业主管部门和客货运行业的漏洞数量相同,都占8%。

依据OWASP TOP10漏洞体系,对车联网行业相关漏洞分类型统计,其中弱口令、SQL注入、信息泄露漏洞数量位列前三,分别占收录漏洞总数的29%、28%、12%,如图3所示。

图3 本月漏洞类型分布

03

重要漏洞信息

根据漏洞造成的直接危害,我们重点关注车企行业的车联网漏洞。本月漏洞涉及15个国内知名车企厂家,其中漏洞类型包含弱口令、SQL注入、信息泄露、未授权访问、远程命令执行、逻辑缺陷以及服务端请求伪造等漏洞,均为OWASP TOP10高危漏洞,具体漏洞分布情况如图4所示。

图4 本月涉及车企漏洞类型分布

如上图所示,弱口令为本月涉及车企最多的漏洞,该漏洞简单直接,可以直接登陆后台,接管网站,其原因大多数是相关工作人员的疏忽懈怠。其次是SQL注入漏洞,攻击者可以利用SQL注入漏洞,通过构造恶意请求执行数据库命令,获取数据库敏感信息。这两个漏洞是web应用中普遍存在的,检测较为容易,利用方法也比较简单,且能造成严重后果。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181225G0CRZY00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券