Imperva報告:Web應用漏洞持續增長 注入漏洞一騎絕塵
責編:gltian |2019-01-18 14:01:342019年1月9日,Imperva發布報告,顯示2018年Web應用漏洞狀況并不太好,共報告了17,142個漏洞。
2018年記錄的Web應用漏洞比上年增長21%。Web應用漏洞類型多樣,其中最常見的是跨站腳本(XSS)漏洞——占所有報告漏洞的14%,且比2017年翻了一番。但最大的問題還是注入漏洞,比上年增長了588%,占2018年度Web應用漏洞的19%。
Imperva威脅分析研究經理 Nadav Avital 表示:
微軟和IBM受注入漏洞披露暴增的影響較大。
代碼或數據可通過注入漏洞被注入Web應用數據路徑,引發某些非預期的后果。注入漏洞類型多樣,SQL注入是其中最為人所知的一種。攻擊者利用SQL注入漏洞將非預期數據注入數據庫SQL查詢中,進行數據滲漏。Imperva報道稱,2018年共報告了1,354個SQL注入漏洞。但更大的注入問題是遠程命令執行(RCE),共有報告了1,980個。攻擊者利用RCE通過某種形式的惡意輸入遠程利用脆弱應用。
有幾個原因增加了去年被曝光的注入漏洞數量:
- 一方面,開發人員沒在開發生命周期中實施最佳安全實踐。
- 另一方面,漏洞獎勵項目越來越流行,被業界廣泛采納。
研究人員通過負責任披露漏洞賺取經濟回報即為漏洞獎勵模式。很多漏洞獎勵項目都將注入漏洞列為主要漏洞發現門類。
IoT漏洞
注入漏洞去年大幅增長,物聯網(IoT)漏洞倒是反其道而行之,2018年報告的IoT漏洞比2017年還少。
究其原因,可能是越來越多的組織機構更加關注開發IoT安全標準和最佳實踐了。
美國國家標準與技術局(NIST)就在2018年5月份發布了一份IoT安全標準。開放Web應用安全項目(OWASP)也公布了新的IoT十大風險列表。
這些都表現出IoT行業和IoT供應商對安全的愈趨重視。
修復率
雖然總體漏洞數量令人關切,Imperva還揭示了另一個影響可能更大的重要趨勢:2018年報告的所有Web應用漏洞中有38%目前還沒有可用解決方案,比如說軟件升級變通措施或軟件補丁。
不過,雖然沒有可用解決方案,也并不表示這些漏洞就都能被利用。一些是可以利用的,另一些不行。
如此之多的Web應用漏洞缺乏補丁說明公司企業仍需依賴層次化的深度安全,設置多種安全解決方案以保護IT資產,比如Web應用防火墻。
未來
2019年,注入漏洞持續增長的趨勢可能延續。
另外,廣泛用于內容管理系統(CMS)和Web應用的PHP編程語言可能也會遭遇潛在風險。2018年末,PHP宣布5.5、5.6和7.0版不再提供安全更新支持。
其結果就是黑客有了更多動力找尋不再支持版本PHP的新安全漏洞,因為這些漏洞不會被修復,所有依賴這些過時版本PHP的應用都受影響。Shodan搜索引擎目前就能找出3.4萬臺運行著過時版本PHP的服務器。