个人总结,可能片面或不正确
样本来自WooYun网站,截止15年12月19号,一共75650个漏洞;
一、Top10安全漏洞中,sql注入占1/3;可见如果你是sql注入方面的测试专家,web安全1/3的天下是你的
二、从2010年到2015年12月,移动app安全问题总共1149个,设计缺陷/逻辑错误占大约30%,这些漏洞主要是在用户注册、口令重置、支付等设计中缺陷导致,往往都是严重问题。图里只是针对TOP问题的比例;sql注入问题在app里依然泛滥。注意那%6的拒绝服务问题,一般是Android组件等本地拒绝服务,这个我司测试部门花大力气测的,但从结果上看,这类问题占的比例是不大的,并且不会形成高风险漏洞;测试方向不要走错;
三、分析一下移动APP漏洞趋势,可以看到,漏洞发现数每年大约都在double,从web上面的问题来看,app的安全漏洞量级肯定也很大,只是目前从web安全到移动安全的白帽子们还比较少,关注度也没有web安全高;目测2016年,app漏洞报告数会起飞;