Imperva報告:Web應用漏洞持續增長 注入漏洞一騎絕塵
2019年1月9日,Imperva釋出報告,顯示2018年Web應用漏洞狀況並不太好,共報告了 17,142 個漏洞。
2018年記錄的Web應用漏洞比上年增長21%。Web應用漏洞型別多樣,其中最常見的是跨站指令碼(XSS)漏洞——佔所有報告漏洞的14%,且比2017年翻了一番。但最大的問題還是注入漏洞,比上年增長了588%,佔2018年度Web應用漏洞的19%。
Imperva威脅分析研究經理 Nadav Avital 表示:
程式碼或資料可通過注入漏洞被注入Web應用資料路徑,引發某些非預期的後果。注入漏洞型別多樣,SQL注入是其中最為人所知的一種。攻擊者利用SQL注入漏洞將非預期資料注入資料庫SQL查詢中,進行資料滲漏。Imperva報道稱,2018年共報告了1,354個SQL注入漏洞。 但更大的注入問題是遠端命令執行(RCE) ,共有報告了1,980個。攻擊者利用RCE通過某種形式的惡意輸入遠端利用脆弱應用。
有幾個原因增加了去年被曝光的注入漏洞數量:
- 一方面,開發人員沒在開發生命週期中實施最佳安全實踐。
- 另一方面,漏洞獎勵專案越來越流行,被業界廣泛採納。
研究人員通過負責任披露漏洞賺取經濟回報即為漏洞獎勵模式。很多漏洞獎勵專案都將注入漏洞列為主要漏洞發現門類。
IoT漏洞
注入漏洞去年大幅增長,物聯網(IoT)漏洞倒是反其道而行之,2018年報告的IoT漏洞比2017年還少。
究其原因,可能是越來越多的組織機構更加關注開發IoT安全標準和最佳實踐了。
美國國家標準與技術局(NIST)就在2018年5月份釋出了一份IoT安全標準。開放Web應用安全專案(OWASP)也公佈了新的IoT十大風險列表。
這些都表現出IoT行業和IoT供應商對安全的愈趨重視。
修復率
雖然總體漏洞數量令人關切,Imperva還揭示了另一個影響可能更大的重要趨勢:2018年報告的所有Web應用漏洞中有38%目前還沒有可用解決方案,比如說軟體升級變通措施或軟體補丁。
不過,雖然沒有可用解決方案,也並不表示這些漏洞就都能被利用。一些是可以利用的,另一些不行。
如此之多的Web應用漏洞缺乏補丁說明公司企業仍需依賴層次化的深度安全,設定多種安全解決方案以保護IT資產,比如Web應用防火牆。
未來
2019年,注入漏洞持續增長的趨勢可能延續。
另外,廣泛用於內容管理系統(CMS)和Web應用的PHP程式語言可能也會遭遇潛在風險。2018年末,PHP宣佈5.5、5.6和7.0版不再提供安全更新支援。
其結果就是黑客有了更多動力找尋不再支援版本PHP的新安全漏洞,因為這些漏洞不會被修復,所有依賴這些過時版本PHP的應用都受影響。Shodan搜尋引擎目前就能找出3.4萬臺執行著過時版本PHP的伺服器。