Web和網(wǎng)絡(luò)周邊漏洞略低于2019年

2020-05-11 15:37:23 編輯：來(lái)源：

導(dǎo)讀一份新的報(bào)告發(fā)現(xiàn)，雖然人們可能認(rèn)為網(wǎng)絡(luò)應(yīng)用程序總體上正在慢慢變得更加安全，但“事實(shí)并不樂觀?！?雖然受Web漏洞掃描保護(hù)的應(yīng)用程序越來(lái)越安全，但根據(jù)2020年Acunetix Web漏洞報(bào)告，“相對(duì)較新的目標(biāo)具有更多的漏洞。據(jù)Acunetix稱，未受保護(hù)的網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序是主要安全漏洞的第二大來(lái)源，這導(dǎo)致數(shù)十億個(gè)人記錄被犯罪分子竊取。有新目標(biāo)的事實(shí)令人擔(dān)憂，因?yàn)椤斑@意味著新開發(fā)人員沒有必要的

一份新的報(bào)告發(fā)現(xiàn)，雖然人們可能認(rèn)為網(wǎng)絡(luò)應(yīng)用程序總體上正在慢慢變得更加安全，但“事實(shí)并不樂觀?！?雖然受Web漏洞掃描保護(hù)的應(yīng)用程序越來(lái)越安全，但根據(jù)2020年Acunetix Web漏洞報(bào)告，“相對(duì)較新的目標(biāo)具有更多的漏洞。據(jù)Acunetix稱，未受保護(hù)的網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序是主要安全漏洞的第二大來(lái)源，這導(dǎo)致數(shù)十億個(gè)人記錄被犯罪分子竊取。有新目標(biāo)的事實(shí)令人擔(dān)憂，因?yàn)椤斑@意味著新開發(fā)人員沒有必要的知識(shí)來(lái)避免漏洞，”報(bào)告說(shuō)。 “它還表明，這些開發(fā)人員是在不促進(jìn)網(wǎng)絡(luò)安全的開發(fā)結(jié)構(gòu)中工作的?！?你的固件容易受到攻擊嗎？一份報(bào)告說(shuō)可能是（技術(shù)共和國(guó)）

報(bào)告說(shuō)，這項(xiàng)研究發(fā)現(xiàn)25%的抽樣目標(biāo)存在跨站點(diǎn)腳本(XSS)漏洞、易受攻擊的Java腳本庫(kù)和WordPress相關(guān)問(wèn)題。 “這意味著Web應(yīng)用程序仍然非常脆弱，但即便如此，這一數(shù)字仍比去年少了30%?！?具體來(lái)說(shuō)，報(bào)告列出了這些漏洞：·遠(yuǎn)程代碼執(zhí)行(RCE)：3%（2019年為2%↑）·SQL注入(S QL I)：8%（2019年為14%↓)·目錄遍歷：4%(2019年為2%↑）·跨站腳本(XSS)：25%（2019年為33%↓）·易感Java腳本庫(kù)：33%（2019年為36%）·服務(wù)器端請(qǐng)求偽造(S SSR F)：1%（2019年為1%）·跨站點(diǎn)請(qǐng)求(CSR F)：36%（2019年為51%↓)·主站頭注入：2。5%(從2019年的4%↓）·Word Press漏洞：24%（從2019年的30%↓）這份報(bào)告假設(shè)，經(jīng)驗(yàn)豐富的網(wǎng)站開發(fā)人員和系統(tǒng)管理員正在取得進(jìn)展，因?yàn)锳cunetix說(shuō)，SQL注入問(wèn)題的數(shù)量連續(xù)第二年下降。報(bào)告說(shuō)，與此同時(shí)，對(duì)交互式網(wǎng)絡(luò)應(yīng)用程序的需求正在增長(zhǎng)。因此，Web應(yīng)用程序使用越來(lái)越多的客戶端技術(shù)。 “這些圖書館中有許多存在漏洞。他們的作者和用戶都知道這些漏洞。然而，大約25%的網(wǎng)絡(luò)應(yīng)用程序使用這種易受攻擊的庫(kù)。研究人員比較了服務(wù)器端編程語(yǔ)言，得出結(jié)論：“PHP仍然像以前一樣流行，”然后是ASP。 NET，“但是開發(fā)人員越來(lái)越多地使用其他不太流行的服務(wù)器端語(yǔ)言?！?報(bào)告認(rèn)為：

PHP漏洞的百分比下降了很多。 ASP或ASP的百分比。 NET漏洞正在增加。

Apache/nginx中的漏洞百分比下降了很多。 IIS漏洞的百分比正在增加。

該公司說(shuō)，大多數(shù)公司認(rèn)為，他們需要做的就是安裝SSL證書。許多人沒有意識(shí)到他們的網(wǎng)站上有多少嚴(yán)重的漏洞，惡意黑客入侵是多么容易。然而，闖入可能導(dǎo)致竊取敏感數(shù)據(jù)，破壞公司聲譽(yù)，并直接攻擊公司客戶。例如，Acunetix引用了2019年資本一違約，這是由一個(gè)名為SSRF的網(wǎng)絡(luò)漏洞造成的。

報(bào)告的結(jié)論是，“我們正緩慢地朝著正確的方向前進(jìn)。漏洞數(shù)量在減少，但只是逐漸減少.. 我們?cè)诰W(wǎng)絡(luò)上還遠(yuǎn)遠(yuǎn)不夠安全——超過(guò)25%的網(wǎng)絡(luò)應(yīng)用程序至少有一個(gè)高多樣性漏洞。報(bào)告說(shuō)，保持適當(dāng)?shù)陌姹竞脱a(bǔ)丁管理不足以保證網(wǎng)絡(luò)資源的安全。 “維護(hù)Web應(yīng)用程序的安全性要困難得多。大多數(shù)漏洞不是關(guān)于您使用的系統(tǒng)，而是如何使用它們。 Web應(yīng)用程序漏洞(如SQL注入和遠(yuǎn)程代碼執(zhí)行)的出現(xiàn)是因?yàn)樵O(shè)計(jì)和編程不好，即使您選擇了一流的軟件和組件。 Acunetix建議改進(jìn)Web應(yīng)用程序安全性的最佳方法是將安全測(cè)試自動(dòng)化引入開發(fā)生命周期。 “這意味著將Web漏洞掃描與問(wèn)題跟蹤器、連續(xù)部署環(huán)境和類似工具集成在一起?！?該公司說(shuō)，Acunetix報(bào)告分析主要適用于在Web應(yīng)用程序中發(fā)現(xiàn)的高和中等嚴(yán)重程度的漏洞，以及來(lái)自5000個(gè)隨機(jī)選擇的掃描目標(biāo)的周邊網(wǎng)絡(luò)漏洞數(shù)據(jù)。