2018年Web应用程序漏洞现状

2018年与2017年一样,web应用程序漏洞越来越多,尤其是与注入相关的漏洞,如SQL注入、命令注入、对象注入等。在内容管理系统(CMS)方面,wordpress 漏洞相较于去年增加了两倍。虽然WordPress在漏洞数量方面领先,但Drupal漏洞的影响更大,并被用于大规模攻击,在2018年期间攻击了数十万个网站。然而,安全行业内还是有一些好消息的­—-物联网(IoT)漏洞数量以及与弱认证相关的漏洞数量有所下降。在服务器端技术类别中,PHP漏洞的数量持续下降。此外,API漏洞的增长速度也在放缓。

2018 Web应用程序漏洞统计信息

研究人员年度分析的第一阶段是检查2018年与前几年相比发布的漏洞数量。下图显示了过去三年中每月漏洞的数量。我们可以看到2018年(17,142)的新漏洞总数与2017年(14,082)相比增加了21%,与2016年(6,615)相比增加了159%。根据数据,超过一半的Web应用程序漏洞(54%)具有黑客可用的公共漏洞。此外,超过三分之一(38%)的Web应用程序漏洞没有可用的解决方案,例如软件升级或软件补丁。

018年Web应用程序漏洞现状"

2016 – 2018年的Web应用程序漏洞数量

最常见的漏洞:注入

2018年最常见的漏洞是注入,占总漏洞的19%(3,294),与去年相比增加了588%。在谈到注入漏洞时,首先想到的是SQL注入。然而,在深入挖掘数据时,研究人员发现远程命令执行(RCE)问题更加严重,总共有1,980个漏洞(11.5%),而SQLi则有1,354个漏洞(8%)。

018年Web应用程序漏洞现状"

2014-2018漏洞类别

第二常见的漏洞:跨站点脚本

跨站点脚本(XSS)漏洞的数量持续增长,是2018年Web应用程序漏洞中第二常见漏洞(14%),数量比2017年翻了一番。

物联网漏洞减少

物联网漏洞数量大幅减少。尽管人们普遍认为我们所有的电子设备都很容易受到攻击,但在这方面似乎发生了一些变化。可能的解释包括:物联网供应商终于开始设备安全性,或者黑客和研究人员在2018年找到了另一个更值得关注的领域。

018年Web应用程序漏洞现状"

2014-2018物联网漏洞

API漏洞:在增长,但增长速度放缓

随着时间的推移,API(应用程序编程接口)漏洞变得越来越普遍。2018年(264)的新API漏洞与2017年(214)相比增加了23%,与2016(169)相比增加了56%,与2015年(104)相比增加了154%。

虽然API漏洞数量继续增长,但增长速度正在放缓,从63%降至22%。一种可能的解释是,由于现在API越来越受欢迎,吸引了黑客和安全研究人员的更多关注。反过来,组织花费了更多时间来保护他们的API。

内容管理系统中的漏洞:攻击者专注于WordPress

根据维基百科引用的市场份额统计数据,最受欢迎的内容管理系统是WordPress,超过28%的网站使用,其次是Joomla 和Drupal。

2018年wordpress漏洞数量最多 (542)也就是意料之中的事了,与2017年相比翻了两番。

018年Web应用程序漏洞现状"

2016-2018CMS平台漏洞数量

据WordPress 官方网站称,目前的插件数量为55,271,与2017年相比仅增加了1,914(3%)。

尽管新插件增长​​缓慢,但WordPress漏洞数量增加了两倍!对此可能的解释是插件的代码质量,或者WordPress太受欢迎了,因此激励更多的攻击者开发专用的攻击工具并抱着试一试的态度搜索代码中的漏洞。

018年Web应用程序漏洞现状"

WordPress插件数量

98%的WordPress漏洞与插件有关(见下图),这些漏洞增加了网站或博客的功能。任何人都可以创建并发布插件—-WordPress是开源的、易于管理,并且不会强制执行任何安全标准(例如代码分析)。因此,WordPress插件容易出现漏洞。

018年Web应用程序漏洞现状"

在下图,您可以看到在2018年发现的漏洞最多的10个WordPress插件。请注意,这些插件不一定是受攻击最多的插件。

018年Web应用程序漏洞现状"

2018年漏洞最多的10个WordPress插件

服务器技术:PHP漏洞下降

由于最流行的网站服务端编程语言仍然是PHP,研究人员预计它的漏洞会比同等语言多得多。但是,与2017年相比2018年PHP的新漏洞有所下降。

018年Web应用程序漏洞现状"

2014 – 2018年服务器端主要技术漏洞

Drupal

尽管Drupal 是第三大受欢迎的CMS,但它的两个漏洞CVE-2018-7600(下图中的红色栏)和CVE-2018-7602(下图中的绿色栏,也称为Drupalgeddon2 和Drupalgeddon3)是导致2018年Web服务器中许多安全漏洞的根本原因。这些漏洞允许未经身份验证的攻击者远程注入恶意代码并在默认或常见的Drupal上运行它。这些漏洞允许攻击者连接到后端数据库、扫描和感染内部网络、挖掘加密货币、使用特洛伊木马感染客户端等等。

这些Drupal漏洞很简单但破坏力强,这使它们成为许多攻击者的首选武器。实际上,Imperva在2018年发现并阻止了50多万次与这些漏洞相关的攻击。另一个风险漏洞是Drupal安全补丁sa-core-2018-006的一部分,该漏洞于10月份发布。但是,由于攻击不容易实现,攻击次数很少。

018年Web应用程序漏洞现状"

2018年Drupal漏洞的CVSS评分

2019年预测

PHP宣布版本5.5、5.6和7.0达到了使用寿命年限,这意味着这些版本将不再接收安全更新。像WordPress、Drupal和Joomla这样主要的CMS是用PHP开发的,需要更新版本的PHP。但是,它们仍然支持旧版本。结果是,黑客继续在PHP版本中发现新的安全漏洞,因为它们不会被修复并影响用这些旧版本构建的每个应用程序。例如,据Shodan称,目前有34000台服务器包含这些不受支持的PHP版本。注入漏洞将继续增长主要是因为经济因素(赚快钱)。随着DevOps成为IT的关键因素,对API的需求不断增长, API的漏洞会越来越多。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/sole/view/134045.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code