编译:奇安信代码卫士团队
概要
漏洞风险管理公司RiskSense 刚刚发布关于顶级Web 和应用框架漏洞的报告指出,2019年的框架漏洞总量下降但武器化率提高,其中wordPress/ target=_blank class=infotextkey>WordPress 和Apache Struts 拥有最多武器化漏洞,而输入验证超越跨站点脚本,成为框架中最常被武器化的弱点。
RiskSense 公司的首席执行官Srinivas Mukkamala 指出,“即便遵循了最佳应用开发实践,但框架漏洞可导致组织机构发生安全事件。同时,更新框架也会带来危险,因为更改可影响应用程序的行为、外观或内在安全。因此,框架漏洞是最重要的但尚未被完全理解以及常被忽视的企业攻击面的元素之一。”而这些漏洞如被利用,则可造成类似Equifax公司发生的导致1.47亿人员数据遭泄露的严重后果。
报告的数据收集自多种来源,包括RiskSense 专有数据、公开的威胁数据库以及RiskSense研究人员和渗透测试人员的研究成果。该报告研究了2010年至2019年11月期间的1662个漏洞。
报告要点
(1) WordPress 和Struts 成“众矢之的”
在过去十年中,单是这两种框架就占据57%的被武器化漏洞。WordPress 虽面临多种问题但XSS 漏洞是最常见问题,而输入验证是Apache Struts 框架的最大风险。它们各自相应的底层语言php 和JAVA 也是最常被武器化的语言。
(2) 2019年漏洞数量下降但武器化率提高
虽然和之前相比,2019年的框架漏洞总量下降,但武器化率升至8.5%,而NVD 在同一时期的平均武器化率为其一半不到(3.9%)。这种增长主要是因为Ruby on Rails、WordPress 和Java 中的武器化率增长导致的。
(3) 输入验证取代 XSS 成“弱点之王”
虽然XSS 问题是这10年间最常见的漏洞,但在过去5年中跌至第5位。这表明框架在这个重要领域已经取得进展。同时,输入验证成为最大的框架安全风险,占过去5年中所有被武器化漏洞的24%,主要影响Apache Struts、WordPress 和Drupal。
总体而言,27.7%的WordPress 漏洞被武器化;Apache Struts 被武器化的漏洞数量排第三,不过它的总体漏洞武器化率在所有框架中是最高的之一,共有38.6%的Struts 漏洞遭武器化。
SaltStack公司的产品管理负责人Mehul Revankar 表示,Apache Struts 是武器化率最高的应用框架之一是有道理的。它是当代很多web 应用的关键依赖关系,目前难以知晓某款应用是否使用该框架。
(4) 注入弱点被高度武器化
虽然和SQL 注入、代码注入和多种命令注入相关的漏洞仍然非常罕见,但其中一些漏洞的武器化率最高,常常超过50%。事实上,前三大武器化率最高的弱点是命令注入(60%)、OS命令注入(50%)和代码注入(39%)。这使得它们成为攻击者追逐的“座上客”。
(5) Java 和 Python 框架的武器化率最低
例如,2019年,基于Java 的Node.js 中的漏洞数量要大大低于其它Java 框架,共有56个漏洞但被武器化的只有1个。同样,Django 共有66个漏洞但被武器化的只有1个。
nVisium 公司的首席执行官Jack Mannino 表示,“十年来,web 应用漏洞已成为越来越成熟的攻击向量。WordPress 和Apache Struts 实现因过时的插件和库版本而备受诟病。由于在很长时间这些系统仍未被修复更新,因此它们被暴露的几率较高。这些科技的现成利用遍布攻击者工具集,而未来仍将如此。”
原文链接
https://risksense.com/press_release/risksense-spotlight-report-finds-wordpress-and-apache-are-most-weaponized-web-and-Application-frameworks/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士
京公网安备 11010802035086号