网络应用程序算安全吗？33个代码库中，31个至少有一个大漏洞

根据安全公司Positive Technologies的数据，33个网络应用的自动源代码分析中，94％至少有一个严重性漏洞。

“Web应用程序的背后实际上都有一个目标，”公司网络安全维护负责人Leigh-Anne Galloway今天在一份声明中表示。“大量未固定的，可利用的漏洞是黑客的获利渠道，他们可以利用这些漏洞窃取敏感信息或访问内部网络。”

2017年对网络应用程序进行的一项调查显示，今年的结果比2016年更糟糕。2016年当时仅有58％的应用程序测试出现了至少一个严重性缺陷。

在33项应用程序测试中，Positive Technologies拒绝透露这些测试的名称 - 约一半（46％）是金融和银行网络应用程序，其中每一项都至少存在一个严重性缺陷。

约18％的网络应用程序服务于政府网站。其中每一个都有一个可以用来攻击用户的漏洞。其余的应用程序来自电子商务（12％），媒体（6％）和IT（6％）以及其他行业（12％）。

严重性缺陷包括：任意文件读取（52％），任意文件修改（48％），SQL注入，XXE注入和任意文件创建（每个文件发生在样本的42％）。

发现的最常见问题是跨站脚本攻击（82％），好在它不算是高风险的缺陷。

此后出现的HTTP响应分割（58％）也是​​一个漏洞。通过该漏洞，Web应用程序可以向浏览器发送双重HTTP响应，并且头部和字段内容受到攻击者的部分控制。当然这也不算严重。

Galloway认为，Web应用程序错误的普遍性表明了对应用程序源代码扫描的必要性。同时，这也表明了开发人员现在要更加努力解决这些漏洞了。

例如，该公司对一家银行应用程序的分析发现，该\filebrowser目录中的模块包括了可以在该\root目录中执行文件管理功能的应用程序的演示版本。特权问题还允许复制和重命名文件，这可能允许攻击者填充可用存储以导致发出拒绝服务的攻击。