昨天，乌云平台发布了2014年10大安全风险，互联网泄密、不安全的第三方应用、系统错误/逻辑错误带来的暴力破解、SQL注入、XSS等成为2014年最大的安全风险。

　　A1-互联网泄密事件/撞库攻击

以大量的用户数据为基础，利用用户相同的注册习惯(相同的用户名和密码)，尝试登陆其它的网站。2011年，互联网泄密事件引爆了整个信息安全界，导致传统的用户密码认证的方式已无法满足现有安全需求。泄露数据包括：天涯：31,758,468条，CSDN：6,428,559条，微博：4,442,915条，人人网：4,445,047条，猫扑：2,644,726条，178：9,072,819条，嘟嘟牛：13,891,418条，7K7K：18,282,404条，共1.2亿条。经典案例：

WooYun: CSDN数据库泄露，大量用户真实账号密码外泄

11年底CSDN在乌云上被披露数据库已经泄露，用户的用户名以及明文密码在互联网上流传开，揭开了互联网数据库泄露事件冰山一角，陆续多家大型网站被窃取的数据库开始在互联网上流传。

A2-引用不安全的第三方应用

第三方开源应用、组件、库、框架和其他软件模块; 过去几年中，安全领域在如何处理漏洞的评估方面取得了长足的进步，几乎每一个业务系统都越来越多地使用了第三方应用，从而导致系统被入侵的威胁也随之增加。由于第三方应用平行部署在业务系统之上，如果一个易受攻击的第三方应用被利用，这种攻击将导致严重的数据失窃或系统沦陷。经典案例：

WooYun: 淘宝主站运维不当导致可以登录随机用户并且获取服务器敏感信息