Imperva報告:Web應(yīng)用漏洞持續(xù)增長 注入漏洞一騎絕塵
日期:2019-01-23 10:13:53
投稿人:nana
2019年1月9日���,Imperva發(fā)布報告,顯示2018年Web應(yīng)用漏洞狀況并不太好�,共報告了17,142個漏洞。
2018年記錄的Web應(yīng)用漏洞比上年增長21%����。Web應(yīng)用漏洞類型多樣���,其中最常見的是跨站腳本(XSS)漏洞——占所有報告漏洞的14%���,且比2017年翻了一番�。但最大的問題還是注入漏洞,比上年增長了588%����,占2018年度Web應(yīng)用漏洞的19%。
Imperva威脅分析研究經(jīng)理 Nadav Avital 表示:
微軟和IBM受注入漏洞披露暴增的影響較大��。
代碼或數(shù)據(jù)可通過注入漏洞被注入Web應(yīng)用數(shù)據(jù)路徑���,引發(fā)某些非預(yù)期的后果�����。注入漏洞類型多樣��,SQL注入是其中最為人所知的一種�。攻擊者利用SQL注入漏洞將非預(yù)期數(shù)據(jù)注入數(shù)據(jù)庫SQL查詢中,進行數(shù)據(jù)滲漏��。Imperva報道稱,2018年共報告了1,354個SQL注入漏洞����。但更大的注入問題是遠程命令執(zhí)行(RCE),共有報告了1,980個����。攻擊者利用RCE通過某種形式的惡意輸入遠程利用脆弱應(yīng)用。
有幾個原因增加了去年被曝光的注入漏洞數(shù)量:
一方面����,開發(fā)人員沒在開發(fā)生命周期中實施最佳安全實踐���。
另一方面���,漏洞獎勵項目越來越流行,被業(yè)界廣泛采納���。
研究人員通過負責任披露漏洞賺取經(jīng)濟回報即為漏洞獎勵模式。很多漏洞獎勵項目都將注入漏洞列為主要漏洞發(fā)現(xiàn)門類����。
IoT漏洞
注入漏洞去年大幅增長,物聯(lián)網(wǎng)(IoT)漏洞倒是反其道而行之�,2018年報告的IoT漏洞比2017年還少����。
究其原因���,可能是越來越多的組織機構(gòu)更加關(guān)注開發(fā)IoT安全標準和最佳實踐了。
美國國家標準與技術(shù)局(NIST)就在2018年5月份發(fā)布了一份IoT安全標準���。開放Web應(yīng)用安全項目(OWASP)也公布了新的IoT十大風險列表����。
這些都表現(xiàn)出IoT行業(yè)和IoT供應(yīng)商對安全的愈趨重視�����。
修復(fù)率
雖然總體漏洞數(shù)量令人關(guān)切,Imperva還揭示了另一個影響可能更大的重要趨勢:2018年報告的所有Web應(yīng)用漏洞中有38%目前還沒有可用解決方案�����,比如說軟件升級變通措施或軟件補丁。
不過��,雖然沒有可用解決方案����,也并不表示這些漏洞就都能被利用�����。一些是可以利用的�����,另一些不行。
如此之多的Web應(yīng)用漏洞缺乏補丁說明公司企業(yè)仍需依賴層次化的深度安全,設(shè)置多種安全解決方案以保護IT資產(chǎn)��,比如Web應(yīng)用防火墻。
未來
2019年���,注入漏洞持續(xù)增長的趨勢可能延續(xù)�。
另外,廣泛用于內(nèi)容管理系統(tǒng)(CMS)和Web應(yīng)用的PHP編程語言可能也會遭遇潛在風險��。2018年末�����,PHP宣布5.5���、5.6和7.0版不再提供安全更新支持����。
其結(jié)果就是黑客有了更多動力找尋不再支持版本PHP的新安全漏洞����,因為這些漏洞不會被修復(fù)�,所有依賴這些過時版本PHP的應(yīng)用都受影響�����。Shodan搜索引擎目前就能找出3.4萬臺運行著過時版本PHP的服務(wù)器。
來源:安全牛
