Web和网络周边漏洞略低于2019年

一份新的报告发现，虽然人们可能认为网络应用程序总体上正在慢慢变得更加安全，但“事实并不乐观。” 虽然受Web漏洞扫描保护的应用程序越来越安全，但根据2020年Acunetix Web漏洞报告，“相对较新的目标具有更多的漏洞。 据Acunetix称，未受保护的网站和网络应用程序是主要安全漏洞的第二大来源，这导致数十亿个人记录被犯罪分子窃取。 有新目标的事实令人担忧，因为“这意味着新开发人员没有必要的知识来避免漏洞，”报告说。 “它还表明，这些开发人员是在不促进网络安全的开发结构中工作的。” 你的固件容易受到攻击吗？ 一份报告说可能是（技术共和国）

报告说，这项研究发现25%的抽样目标存在跨站点脚本(XSS)漏洞、易受攻击的Java脚本库和WordPress相关问题。 “这意味着Web应用程序仍然非常脆弱，但即便如此，这一数字仍比去年少了30%。” 具体来说，报告列出了这些漏洞：·远程代码执行(RCE)：3%（2019年为2%↑）·SQL注入(S QL I)：8%（2019年为14%↓)·目录遍历：4%(2019年为2%↑）·跨站脚本(XSS)：25%（2019年为33%↓）·易感Java脚本库：33%（2019年为36%）·服务器端请求伪造(S SSR F)：1%（2019年为1%）·跨站点请求(CSR F)：36%（2019年为51%↓)·主站头注入：2。5%(从2019年的4%↓）·Word Press漏洞：24%（从2019年的30%↓）这份报告假设，经验丰富的网站开发人员和系统管理员正在取得进展，因为Acunetix说，SQL注入问题的数量连续第二年下降。 报告说，与此同时，对交互式网络应用程序的需求正在增长。因此，Web应用程序使用越来越多的客户端技术。 “这些图书馆中有许多存在漏洞。 他们的作者和用户都知道这些漏洞。 然而，大约25%的网络应用程序使用这种易受攻击的库。 研究人员比较了服务器端编程语言，得出结论：“PHP仍然像以前一样流行，”然后是ASP。 NET，“但是开发人员越来越多地使用其他不太流行的服务器端语言。” 报告认为：

PHP漏洞的百分比下降了很多。 ASP或ASP的百分比。 NET漏洞正在增加。

Apache/nginx中的漏洞百分比下降了很多。 IIS漏洞的百分比正在增加。

该公司说，大多数公司认为，他们需要做的就是安装SSL证书。 许多人没有意识到他们的网站上有多少严重的漏洞，恶意黑客入侵是多么容易。 然而，闯入可能导致窃取敏感数据，破坏公司声誉，并直接攻击公司客户。 例如，Acunetix引用了2019年资本一违约，这是由一个名为SSRF的网络漏洞造成的。

报告的结论是，“我们正缓慢地朝着正确的方向前进。 漏洞数量在减少，但只是逐渐减少.. 我们在网络上还远远不够安全——超过25%的网络应用程序至少有一个高多样性漏洞。 报告说，保持适当的版本和补丁管理不足以保证网络资源的安全。 “维护Web应用程序的安全性要困难得多。 大多数漏洞不是关于您使用的系统，而是如何使用它们。 Web应用程序漏洞(如SQL注入和远程代码执行)的出现是因为设计和编程不好，即使您选择了一流的软件和组件。 Acunetix建议改进Web应用程序安全性的最佳方法是将安全测试自动化引入开发生命周期。 “这意味着将Web漏洞扫描与问题跟踪器、连续部署环境和类似工具集成在一起。” 该公司说，Acunetix报告分析主要适用于在Web应用程序中发现的高和中等严重程度的漏洞，以及来自5000个随机选择的扫描目标的周边网络漏洞数据。