攻防演练真正开始前,安全负责人最担心的往往不是“有没有漏洞”,而是:哪些漏洞最易被攻击方利用?哪些系统最容易成为突破口?有限时间内,应该先修哪里?
近日,360数字安全集团漏洞研究院基于漏洞情报数据库发布《2026攻防演练必修漏洞清单》,系统梳理政企单位在攻防演练前亟需关注的高危风险入口,为客户开展资产排查、漏洞修复和应急加固提供实战化参考。
报告显示,近一年新增已知利用漏洞共160条,其中严重漏洞66条、高危漏洞50条,严重与高危合计占72.5%;未授权可利用漏洞49条,占30.6%。这意味着,相当一部分漏洞已经不是“理论风险”,而是可能被攻击方直接拿来使用的“武器化”入口。
从全量数据看,679条漏洞中,严重和高危漏洞合计650条,占比高达95.7%。其中,SQL注入、命令注入、代码注入三类漏洞合计305条,占比44.9%。
这也说明,攻防演练前的漏洞治理,不能再停留在“发现多少、修复多少”的传统工作思路,而要转向:哪些漏洞最容易被攻击者利用?哪些资产最值得优先保护?哪些入口必须立刻收敛?
一、五类高危入口,建议安全负责人优先排查
1. AI与大模型应用工具:2026攻防演练的新兴高价值入口
随着大模型网关、智能体平台、低代码自动化工具在企业内部加速部署,AI基础设施正在成为新的高危攻击面。此类系统通常连接API密钥、自动化流程、业务数据和内部系统权限,一旦被攻击方利用,可能直接获取底层运行环境控制权,并进一步开展横向渗透。
典型漏洞
产品
典型漏洞
危害
攻防视角
LiteLLM
未授权SQL注入
严重
可读取数据库数据,进一步获取API密钥等敏感信息
LangChain
未授权反序列化
高危
可通过恶意对象注入信任命名空间,引发敏感信息泄露或代码执行风险
N8n
输入验证不当
严重
可访问服务器底层文件系统,成为横向渗透入口
OpenClaw
设计缺陷
高危
可能导致敏感令牌泄露或未授权远程连接
对安全负责人来说,AI系统不能再被视为“创新应用”单独管理,而必须纳入资产台账、漏洞管理、权限治理和攻防演练重点防护范围。
2. OA、ERP与协同办公系统:外网突破的高频目标
OA、ERP、电子签章、报表平台等系统承载公文、财务、合同、供应链、组织架构等核心数据,又常常通过互联网或VPN对外提供服务,是攻防演练中最常见的外网突破入口。
典型漏洞
产品
典型漏洞
危害
攻防视角
*微 E-Cology10
未授权代码注入
严重
攻击门槛极低,未授权即可执行任意命令
*软 FineReport
未授权SQL注入
严重
可通过导出功能写入Webshell,完全控制服务器
*友 U9 Cloud
未授权反序列化
严重
可利用SOAP协议实现远程代码执行
*友 U8 Cloud
未授权路径遍历
高危
可读取任意文件,为后续攻击提供信息支撑
*蝶 EAS
未授权文件上传不当
严重
可上传恶意文件执行代码,是ERP系统常见突破点
Microsoft SharePoint
未授权反序列化
严重
可绕过身份验证,获取系统控制权
*约锁电子签章
未授权文件上传不当
严重
影响电子签章核心业务,可上传恶意文件执行代码
这类系统建议在演练前完成全量资产盘点,重点排查未授权文件上传、SQL注入、反序列化、命令注入等漏洞。
3. 中间件与开发框架:一处漏洞影响多套业务系统
中间件和开发框架部署范围广、版本碎片化严重,一条RCE漏洞可能影响大量业务系统。此类漏洞往往利用工具成熟、攻击成本低,是攻防演练中高价值目标。
典型漏洞
产品
典型漏洞
危害
攻防视角
React Server Components
未授权反序列化
严重
影响Next.js、Vite等生态,可从Web前端打到后端基础设施
React Native CLI
未授权命令注入
严重
开发服务器暴露后,可被未认证攻击者执行命令
*方通 TongWeb
未授权反序列化
严重
政务、金融、能源等行业常见中间件,影响面广
*蝶云星空 kdsvc
反序列化
严重
可执行系统命令、写入后门、获取服务器权限
建议对互联网暴露的中间件和开发框架优先完成补丁升级、版本替换和访问限制,尤其要避免开发测试环境暴露在公网。
4. 网络与安全产品:防线本身也可能被绕过
防火墙、WAF、SIEM、EDR、SD-WAN、堡垒机、远程运维平台等安全和运维系统,一旦自身存在漏洞,攻击方不仅能获取设备控制权,还可能绕过安全策略、清除入侵痕迹、禁用告警规则,形成“灯下黑”风险。
典型漏洞
产品
典型漏洞
危害
攻防视角
Cisco Catalyst SD-WAN
身份验证缺陷
严重
可绕过认证获取管理员权限,操控网络配置
Fortinet FortiClient EMS
访问控制不当
严重
可绕过身份验证并触发远程代码执行风险
BeyondTrust Remote Support
未授权命令注入
严重
远程运维工具被控后,可能成为进入内网的高危通道
*信服运维安全管理系统
未授权命令注入
严重
堡垒机被打穿后,攻击方可借运维通道控制目标服务器
演练前不仅要查业务系统,也要查防线本身。尤其要确认管理后台是否暴露在公网、是否启用强认证、是否完成补丁升级、日志是否具备独立备份能力。
5. 桌面软件与操作系统:钓鱼、提权与持久化的关键环节
桌面软件与操作系统漏洞常常承担两类角色:一是社工钓鱼链路的“最后一公里”,二是初始突破后的提权与持久化入口。
典型漏洞
产品
典型漏洞
危害
攻防视角
Google Chrome
UAF漏洞
高危
可通过恶意网页触发,配合钓鱼攻击实现终端入侵
Adobe Acrobat
未授权代码注入
严重
恶意PDF文件打开即可触发,可能导致电脑被控制
Linux Kernel
逻辑缺陷
高危
可稳定提权至root,并具备容器逃逸风险
*信 Linux版
命令注入
高危
用户点击特制文件名即可触发1-click RCE
*度网盘 Windows客户端
未授权命令注入
高危
本地服务处理参数不当,可能被用于系统控制
这类漏洞提醒客户,攻防演练不是只守服务器和Web系统,终端侧补丁、EDR监控、异常提权告警同样关键。
二、今年攻防演练的四个新变化
变化一:AI基础设施成为新兴攻击面
2026年攻防演练中,AI与大模型应用工具不再只是业务创新系统,而是新的高价值攻击入口。大模型网关、智能体平台、自动化工作流、AI编排工具一旦被利用,攻击方可能直接触达API密钥、业务数据和内部系统权限。
这意味着,企业不能只关注AI应用“能不能用”,更要关注AI基础设施“安不安全”。安全负责人应尽快将AI系统纳入资产管理、漏洞扫描、权限控制和演练前排查范围。
变化二:传统Web漏洞仍是主战场
尽管攻击面正在向AI、云原生、安全设备扩展,但SQL注入、文件上传、命令注入、反序列化等传统漏洞,仍然是攻防演练中最稳定、最成熟、最常用的突破路径。
原因很简单:这类漏洞利用链成熟、公开资料多、攻击成功率高。对于防守方来说,基础漏洞治理依然是演练前最不能忽视的基本功
变化三:企业级软件供应链风险更受关注
OA、ERP、协同办公、报表、电子签章等企业级软件在政企客户中部署广泛,一旦某一产品线或通用组件出现高危漏洞,可能形成“一点突破、全面受陷”的供应链风险。
因此,客户在排查漏洞时,不能只看单个系统是否暴露,还要关注同类产品、同一厂商、多套业务系统之间的关联风险。
变化四:安全设备自身成为防守盲区
过去,很多单位默认安全设备就是“防线”。但在实战攻防中,安全设备自身也可能成为攻击目标。
一旦防火墙、堡垒机、远程运维平台、端点管理平台被攻击方控制,防守体系可能被绕过、被篡改,甚至被反制。演练前,安全团队应对安全设备自身开展专项排查,特别是管理面暴露、弱口令、补丁缺失、日志留存等问题。
三、安全负责人应该如何用好这份清单?
第一,先做资产对齐。将企业现有互联网暴露资产、OA/ERP系统、中间件、安全设备、AI应用平台、终端软件版本与清单进行比对,明确哪些系统命中高危漏洞。
第二,按优先级修复,而不是平均用力。建议优先处理四类漏洞:未授权可利用漏洞、严重/高危漏洞、存在在野利用漏洞、位于互联网暴露面的漏洞。对无法立即修复的系统,应采取访问限制、临时下线、关闭非必要端口、加强WAF/IDS规则等临时防护措施。
第三,重点查“防线本身”。攻防演练前不仅要查业务系统,还要查防火墙、WAF、SIEM、EDR、堡垒机、远程运维平台等安全和运维系统。
第四,把AI应用纳入资产台账。智能体平台、大模型API网关、自动化工作流、AI插件和第三方组件,都应纳入常规资产管理和漏洞排查范围。
第五,建立演练中的监测与响应机制。围绕SQL注入、文件上传、命令执行、反序列化、异常外联、权限提升等高频攻击行为,提前部署检测规则和应急预案。
攻防演练考验的不是企业“有没有安全设备”,而是能否在真实攻击发生前识别最危险的入口、建立最清晰的修复优先级,并把风险压缩在可控范围内。360数字安全集团建议政企客户以《2026攻防演练必修漏洞清单》为基础,尽快开展一次面向实战的漏洞排查和暴露面收敛。
客户如需获取完整漏洞清单,开展资产命中比对、攻防演练前专项排查或应急加固服务,建议您订阅我们的「360数字安全-漏洞情报服务」。
订阅链接:https://vi.loudongyun.360.net。
可联系 360VRI@360.cn,
获取360漏洞情报能力与专家服务支持。
360数字安全 |
|
|
|
|
|
|
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
纳米AI
手机卫士
评论
直达楼层