Web和網(wǎng)絡(luò)周邊漏洞略低于2019年

2020-05-11 15:37:23 編輯：來源：

導(dǎo)讀一份新的報告發(fā)現(xiàn)，雖然人們可能認(rèn)為網(wǎng)絡(luò)應(yīng)用程序總體上正在慢慢變得更加安全，但“事實并不樂觀?！?雖然受Web漏洞掃描保護(hù)的應(yīng)用程序越來越安全，但根據(jù)2020年Acunetix Web漏洞報告，“相對較新的目標(biāo)具有更多的漏洞。據(jù)Acunetix稱，未受保護(hù)的網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序是主要安全漏洞的第二大來源，這導(dǎo)致數(shù)十億個人記錄被犯罪分子竊取。有新目標(biāo)的事實令人擔(dān)憂，因為“這意味著新開發(fā)人員沒有必要的

一份新的報告發(fā)現(xiàn)，雖然人們可能認(rèn)為網(wǎng)絡(luò)應(yīng)用程序總體上正在慢慢變得更加安全，但“事實并不樂觀?！?雖然受Web漏洞掃描保護(hù)的應(yīng)用程序越來越安全，但根據(jù)2020年Acunetix Web漏洞報告，“相對較新的目標(biāo)具有更多的漏洞。據(jù)Acunetix稱，未受保護(hù)的網(wǎng)站和網(wǎng)絡(luò)應(yīng)用程序是主要安全漏洞的第二大來源，這導(dǎo)致數(shù)十億個人記錄被犯罪分子竊取。有新目標(biāo)的事實令人擔(dān)憂，因為“這意味著新開發(fā)人員沒有必要的知識來避免漏洞，”報告說。 “它還表明，這些開發(fā)人員是在不促進(jìn)網(wǎng)絡(luò)安全的開發(fā)結(jié)構(gòu)中工作的?！?你的固件容易受到攻擊嗎？一份報告說可能是（技術(shù)共和國）

報告說，這項研究發(fā)現(xiàn)25%的抽樣目標(biāo)存在跨站點腳本(XSS)漏洞、易受攻擊的Java腳本庫和WordPress相關(guān)問題。 “這意味著Web應(yīng)用程序仍然非常脆弱，但即便如此，這一數(shù)字仍比去年少了30%?！?具體來說，報告列出了這些漏洞：·遠(yuǎn)程代碼執(zhí)行(RCE)：3%（2019年為2%↑）·SQL注入(S QL I)：8%（2019年為14%↓)·目錄遍歷：4%(2019年為2%↑）·跨站腳本(XSS)：25%（2019年為33%↓）·易感Java腳本庫：33%（2019年為36%）·服務(wù)器端請求偽造(S SSR F)：1%（2019年為1%）·跨站點請求(CSR F)：36%（2019年為51%↓)·主站頭注入：2。5%(從2019年的4%↓）·Word Press漏洞：24%（從2019年的30%↓）這份報告假設(shè)，經(jīng)驗豐富的網(wǎng)站開發(fā)人員和系統(tǒng)管理員正在取得進(jìn)展，因為Acunetix說，SQL注入問題的數(shù)量連續(xù)第二年下降。報告說，與此同時，對交互式網(wǎng)絡(luò)應(yīng)用程序的需求正在增長。因此，Web應(yīng)用程序使用越來越多的客戶端技術(shù)。 “這些圖書館中有許多存在漏洞。他們的作者和用戶都知道這些漏洞。然而，大約25%的網(wǎng)絡(luò)應(yīng)用程序使用這種易受攻擊的庫。研究人員比較了服務(wù)器端編程語言，得出結(jié)論：“PHP仍然像以前一樣流行，”然后是ASP。 NET，“但是開發(fā)人員越來越多地使用其他不太流行的服務(wù)器端語言?！?報告認(rèn)為：

PHP漏洞的百分比下降了很多。 ASP或ASP的百分比。 NET漏洞正在增加。

Apache/nginx中的漏洞百分比下降了很多。 IIS漏洞的百分比正在增加。

該公司說，大多數(shù)公司認(rèn)為，他們需要做的就是安裝SSL證書。許多人沒有意識到他們的網(wǎng)站上有多少嚴(yán)重的漏洞，惡意黑客入侵是多么容易。然而，闖入可能導(dǎo)致竊取敏感數(shù)據(jù)，破壞公司聲譽，并直接攻擊公司客戶。例如，Acunetix引用了2019年資本一違約，這是由一個名為SSRF的網(wǎng)絡(luò)漏洞造成的。

報告的結(jié)論是，“我們正緩慢地朝著正確的方向前進(jìn)。漏洞數(shù)量在減少，但只是逐漸減少.. 我們在網(wǎng)絡(luò)上還遠(yuǎn)遠(yuǎn)不夠安全——超過25%的網(wǎng)絡(luò)應(yīng)用程序至少有一個高多樣性漏洞。報告說，保持適當(dāng)?shù)陌姹竞脱a(bǔ)丁管理不足以保證網(wǎng)絡(luò)資源的安全。 “維護(hù)Web應(yīng)用程序的安全性要困難得多。大多數(shù)漏洞不是關(guān)于您使用的系統(tǒng)，而是如何使用它們。 Web應(yīng)用程序漏洞(如SQL注入和遠(yuǎn)程代碼執(zhí)行)的出現(xiàn)是因為設(shè)計和編程不好，即使您選擇了一流的軟件和組件。 Acunetix建議改進(jìn)Web應(yīng)用程序安全性的最佳方法是將安全測試自動化引入開發(fā)生命周期。 “這意味著將Web漏洞掃描與問題跟蹤器、連續(xù)部署環(huán)境和類似工具集成在一起?！?該公司說，Acunetix報告分析主要適用于在Web應(yīng)用程序中發(fā)現(xiàn)的高和中等嚴(yán)重程度的漏洞，以及來自5000個隨機(jī)選擇的掃描目標(biāo)的周邊網(wǎng)絡(luò)漏洞數(shù)據(jù)。