原副标题:2019年最招揽反击阵地的 Web 架构:WordPress 和 Apache Struts
校对:奇东方证券标识符保卫者项目组
概述
安全可靠漏洞风险控制子公司RiskSense 才刚正式发布有关世界顶级Web 和应用领域架构安全可靠漏洞的调查报告表示,2019年的架构安全可靠漏洞总额上升但生物武器率提升,当中WordPress 和Apache Struts 保有最多生物武器安全可靠漏洞,而输出校正胜过跨公交站点JAVA,正式成为架构中较常被生物武器的软肋。
RiskSense 公司的执行官行政官Srinivas Mukkamala 表示,“即使遵从了最差应用领域合作开发课堂教学,但架构安全可靠漏洞可引致组织政府机构政府机构出现恶性事件。与此同时,预览架构也会增添脆弱,即使更动可负面影响应用领域程序的犯罪行为、外形或外在安全可靠。因此,架构安全可靠漏洞是最重要的但仍未被全然认知和常被忽略了的民营企业达维季夫卡的原素众所周知。”而那些安全可靠漏洞如被借助,则可导致类似于Equifax子公司出现的引致1.47亿相关人员统计数据遭外泄的不良后果。
括RiskSense 私有统计数据、申明的严重威胁统计资料库和RiskSense研究相关人员和渗透测试相关人员的研究成果。该调查报告研究了2010年至2019年11月期间的1662个安全可靠漏洞。
调查报告要点
(1) WordPress 和Struts成“众矢之的”
在过去十年中,单是这两种架构就占据57%的被生物武器安全可靠漏洞。WordPress 虽面临多种问题但XSS 安全可靠漏洞是较常见问题,而输出校正是Apache Struts 架构的最大风险。它们各自相应的底层语言PHP 和Java 也是较常被生物武器的语言。
(2) 2019年安全可靠漏洞数量上升但生物武器率提升
虽然和之前相比,2019年的架构安全可靠漏洞总额上升,但生物武器率升至8.5%,而NVD 在同一时期的平均生物武器率为其一半不到(3.9%)。这种增长主要是即使Ruby on Rails、WordPress 和Java 中的生物武器率增长引致的。
(3) 输出校正取代 XSS 成“软肋之王”
虽然XSS 问题是这10年间较常见的安全可靠漏洞,但在过去5年中跌至第5位。这表明架构在这个重要领域已经取得进展。与此同时,输出校正正式成为最大的架构安全可靠风险,占过去5年中所有被生物武器安全可靠漏洞的24%,主要负面影响Apache Struts、WordPress和Drupal。
总体而言,27.7%的WordPress 安全可靠漏洞被生物武器;Apache Struts 被生物武器的安全可靠漏洞数量排第三,不过它的总体安全可靠漏洞生物武器率在所有架构中是最高的众所周知,共有38.6%的Struts安全可靠漏洞遭生物武器。
SaltStack子公司的产品管理负责人Mehul Revankar 表示,Apache Struts 是生物武器率最高的应用领域架构众所周知是有道理的。它是当代很多web 应用领域的关键依赖关系,目前难以知晓某款应用领域是否使用该架构。
(4) 注入软肋被高度生物武器
虽然和SQL 注入、标识符注入和多种命令注入相关的安全可靠漏洞仍然非常罕见,但当中一些安全可靠漏洞的生物武器率最高,常常超过50%。事实上,前三大生物武器率最高的软肋是命令注入(60%)、OS命令注入(50%)和标识符注入(39%)。这使得它们正式成为反击者追逐的“座上客”。
(5) Java 和 Python 架构的生物武器率最低
例如,2019年,基于Java 的Node.js中的安全可靠漏洞数量要大大低于其它Java 架构,共有56个安全可靠漏洞但被生物武器的只有1个。同样,Django 共有66个安全可靠漏洞但被生物武器的只有1个。
nVisium 子公司的执行官行政官Jack Mannino 表示,“十年来,web 应用领域安全可靠漏洞已正式成为越来越成熟的反击向量。WordPress 和Apache Struts 实现因过时的插件和库版本而备受诟病。由于在很长时间那些系统仍未被修复预览,因而它们被暴露的几率较高。那些科技的现成借助遍布反击者工具集,而未来仍将如此。”
原文链接
https://risksense.com/press_release/risksense-spotlight-report-finds-wordpress-and-apache-are-most-weaponized-web-and-application-frameworks/
题图:Pixabay License
本文由奇东方证券标识符保卫者校对,不代表奇东方证券观点。转载请注明“转自奇东方证券标识符保卫者
