CIS 2020网络安全创新大会将于2020年12月29日-30日在上海举办，届时万众瞩目的中国网络安全创新年度评选WitAwards 2020获奖结果也将同时揭晓。

根据最新发布的2020年漏洞和威胁趋势报告，2020年漏洞数量有可能突破新的记录——超过2万个。网络安全总与各式各样的漏洞如影随形，想必调查机构曝光的漏洞也只是冰山一角。在那些波及面极广、影响巨大的漏洞里，体现的更是安全行业的任重道远，而这些漏洞中，哪一个最让人印象深刻？

漏洞无处不在，开源项目亦不例外。开源项目持续推动和加速尖端安全创新，每一年都有无数令人印象深刻的卓越开源项目涌现。2020年，哪项安全开源项目最受安全开发人员追捧？哪个安全开源项目的活跃度最高？哪类安全开源项目对开发和实施产生重大影响？

本文为大家列举了「年度安全漏洞」&「年度最佳安全开源项目」奖项入围项目，下拉速览，为你揭晓以上这些问题的答案！

年度安全漏洞

通达OA前台任意用户伪造登录漏洞

通达OA是一套办公系统。2020年04月17日, 通达OA官方在更新了一个v11版本安全补丁, 其中修复了一个任意用户伪造登录漏洞。

Fastjson全版本远程代码执行漏洞

Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，2020年6月 Fastjson 全版本爆出存在远程代码执行漏洞，漏洞被利用可直接获取服务器权限。

Cisco ASA/FTD设备任意文件读取漏洞

2020年7月22日，Cisco针对CVE-2020-3452发布了安全漏洞通告，CVE-2020-3452是影响Adaptive Security Appliance（ASA）和思科Firepower Threat Defense（FTD）软件的目录遍历漏洞，CVSS评分7.5。网上已出现漏洞利用POC，建议受影响用户升级到安全版本。

Zoom远程代码执行漏洞

3 月 26 日，Motherboard指出，在 iOS 系统下载或打开 Zoom App 时，App内嵌的 Facebook SDK会向Facebook 传送用户的手机型号、时区、城市、运营商以及广告唯一标志符等信息，而 iOS 版本的 Zoom甚至没有在隐私条款中提前说明，就将用户数据共享给Facebook。

NetLogon 特权提升漏洞

2020年8月11日，微软发布了2020年8月份安全更新通告，其中包含了CVE-2020-1472的漏洞修复，CVE-2020-1472是的Netlogon 特权提升漏洞，CVSS评分10.0。该漏洞源于Netlogon远程协议所使用的加密身份验证方案中的一个问题，攻击者可以使用新密码控制域控制器并窃取域管理员的凭据。

Windows DNS Server远程代码执行漏洞

2020年7月14日，微软发布了2020年7月份安全更新通告，其中包含了CVE-2020-1350的漏洞修复，CVE-2020-1350是Windows DNS Server中的远程代码执行漏洞，该漏洞被分类为“可蠕虫级”漏洞，CVSS评分10.0。该漏洞影响所有的Windows Server版本。

Windows SMBv3 远程代码执行漏洞

2020.03.10 思科Talos团队和Fortinet公司发布了一个Smbv3 的0day, 该漏洞于2020.03.12日紧急发布漏洞补丁。攻击者通过发送构造的数据包可以再SMB服务器上执行任意代码。

Apache Tomcat文件包含漏洞

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。 根据Tomcat 2020年02月04日 官方更新公告, 修复了一个影响tomcat全版本的安全漏洞。

SaltStack命令执行漏洞

SaltStack 是基于 Python 开发的一套 C/S 架构配置管理工具。2020年5月3日,国外某安全团队披露了 SaltStack 存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。攻击者利用该漏洞构造恶意请求，可以绕过正常的Salt Master验证逻辑，调用相关未授权函数的功能，从而实现远程命令执行。

Weblogic console HTTP 协议远程代码执行漏洞

2020年10月20日，Oracle官方发布了2020年10月安全更新公告, 其中包含多个高危安全漏洞。其中包含通过HTTP协议进行攻击的高危漏洞CVE-2020-14882。WebLogic是美国Oracle公司的主要产品之一，是商业市场上主要的 J2EE 应用服务器软件。

手机可被远程获取企业WiFi密码漏洞

通过利用大量终端设备厂商（手机、电脑等）存在的Wi-Fi漏洞，成功实现了在员工毫不知情的情况下让手机自动连接假的同名企业Wi-Fi并获取到企业Wi-Fi的账号密码，从而可以在企业未授权的情况下接入企业WiF并对员工手机进行劫持。

年度最佳安全开源项目

MesaTEE通用安全计算

通过提供完整的“通用安全计算”软件栈（Universal Secure Computing, USC），帮助大数据和AI产业提供下一代数据隐私和安全解决方案。MesaTEE通过提供可信且安全的隔离执行计算环境，重新定义了未来的大数据商业模式。即使客户端和服务/平台提供商不完全相互信任，也可以有效地保护数据或模型的机密性和完整性。

OpenRASP

OpenRASP 抛弃了传统防火墙依赖请求特征检测攻击的模式，创造性的使用RASP技术（应用运行时自我保护），直接注入到被保护应用的服务中提供函数级别的实时防护，可以在不更新策略以及不升级被保护应用代码的情况下检测/防护未知漏洞，尤其适合大量使用开源组件的互联网应用以及使用第三方集成商开发的金融类应用。

Vulhub

Vulhub是一个基于docker和docker-compose的漏洞环境集合，进入对应目录并执行一条语句即可启动一个全新的漏洞环境，让漏洞复现变得更加简单，让安全研究者更加专注于漏洞原理本身。

AgentSmith-HIDS

​AgentSmith-HIDS作为传统攻防视角的重要一环，有着不可替代的作用，可以有效的检测到从网络层面难以发现的安全问题，如：后门，反弹shell，恶意操作，主机组建安全漏洞，系统用户管理安全问题，主机基线安全风险等。

洞见微信聚合

洞见微信聚合是一个收录安全圈公众号历史文章链接的工具。自动化监控公众号发文动态、采集微信公众号文章、分析公众号活跃度的的系统。帮助使用者根据关键字快速找到公众号的历史文章。解决微信搜一搜搜索信息不全面的困扰。

HFish

HFish 是一款基于 Golang 开发的跨平台多功能主动诱导型开源蜜罐框架系统，为了企业安全防护做出了精心的打造，全程记录黑客攻击手段，实现防护自主化。

JXWAF(锦衣盾)

JXWAF(锦衣盾)是一款基于openresty(nginx+lua)开发的下一代web应用防火墙。独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防护，解决传统WAF无法对业务安全进行防护的痛点。

Aswan风控静态规则引擎

Aswan风控静态规则引擎源自陌陌线上实际运行的风控系统的静态规则引擎部分，并且剥离了不具普适性的规则逻辑和实际使用频次较低的辅助性功能，使得系统更为轻量灵活。Aswan风控静态规则引擎已经通过了长时间、大请求量的实际线上业务验证，可靠性和可用性均有保障。

蓝鲸智云配置平台

蓝鲸智云配置平台（蓝鲸CMDB）是一个面向资产及应用的企业级配置管理平台。蓝鲸配置平台提供了全新自定义模型管理，用户不仅可以方便地实现内置模型属性的拓展，同时也能够根据不同的企业需求随时新增模型和关联关系，把网络、中间件、虚拟资源等纳入到CMDB的管理中。

星云（TH-Nebula）

星云风控系统是一套互联网风控分析和检测平台，可以对企业遇到的各种业务风险场景进行细致的分析，找出威胁流量，帮助用户减少损失。星云采用旁路流量的方式进行数据采集，无需在业务逻辑上做数据埋点或侵入，同时支持本地私有化部署和Docker镜像云端部署。

ZBN SOAR

ZBN SOAR 是一款安全编排与自动化响应平台，将安全产品以及安全流程链接整合起来，通过预定义的工作流（Workflow）和剧本（Playbook）来标准化事故的调查处置流程，提升威胁响应的自动化程度和执行效率。

WIT评选由国家信息技术安全研究中心、中国信息通信研究院安全研究所指导，网络安全行业门户FreeBuf主办，已连续举办五届。WIT评选自 2015 年举办以来一直饱受赞誉，是业内广受关注的网络安全创新大奖评选。评选旨在以最专业的角度和最公正的态度，发掘优秀行业案例，树立年度标杆。