网络应用程序算安全吗?33个代码库中,31个至少有一个大漏洞

根据安全公司Positive Technologies的数据,33个网络应用的自动源代码分析中,94%至少有一个严重性漏洞。

“Web应用程序的背后实际上都有一个目标,”公司网络安全维护负责人Leigh-Anne Galloway今天在一份声明中表示。“大量未固定的,可利用的漏洞是黑客的获利渠道,他们可以利用这些漏洞窃取敏感信息或访问内部网络。”

2017年对网络应用程序进行的一项调查显示,今年的结果比2016年更糟糕。2016年当时仅有58%的应用程序测试出现了至少一个严重性缺陷。

在33项应用程序测试中,Positive Technologies拒绝透露这些测试的名称 - 约一半(46%)是金融和银行网络应用程序,其中每一项都至少存在一个严重性缺陷。

约18%的网络应用程序服务于政府网站。其中每一个都有一个可以用来攻击用户的漏洞。其余的应用程序来自电子商务(12%),媒体(6%)和IT(6%)以及其他行业(12%)。

严重性缺陷包括:任意文件读取(52%),任意文件修改(48%),SQL注入,XXE注入和任意文件创建(每个文件发生在样本的42%)。

发现的最常见问题是跨站脚本攻击(82%),好在它不算是高风险的缺陷。

此后出现的HTTP响应分割(58%)也是​​一个漏洞。通过该漏洞,Web应用程序可以向浏览器发送双重HTTP响应,并且头部和字段内容受到攻击者的部分控制。当然这也不算严重。

Galloway认为,Web应用程序错误的普遍性表明了对应用程序源代码扫描的必要性。同时,这也表明了开发人员现在要更加努力解决这些漏洞了。

例如,该公司对一家银行应用程序的分析发现,该\filebrowser目录中的模块包括了可以在该\root目录中执行文件管理功能的应用程序的演示版本。特权问题还允许复制和重命名文件,这可能允许攻击者填充可用存储以导致发出拒绝服务的攻击。

  • 发表于:
  • 原文链接http://www.theregister.co.uk/2018/04/16/web_app_security_sucks
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券