編譯:奇安信代碼衛士團隊
概要
漏洞風險管理公司RiskSense 剛剛發布關于頂級Web 和應用框架漏洞的報告指出,2019年的框架漏洞總量下降但武器化率提高,其中wordPress/ target=_blank class=infotextkey>WordPress 和Apache Struts 擁有最多武器化漏洞,而輸入驗證超越跨站點腳本,成為框架中最常被武器化的弱點。
RiskSense 公司的首席執行官Srinivas Mukkamala 指出,“即便遵循了最佳應用開發實踐,但框架漏洞可導致組織機構發生安全事件。同時,更新框架也會帶來危險,因為更改可影響應用程序的行為、外觀或內在安全。因此,框架漏洞是最重要的但尚未被完全理解以及常被忽視的企業攻擊面的元素之一。”而這些漏洞如被利用,則可造成類似Equifax公司發生的導致1.47億人員數據遭泄露的嚴重后果。
報告的數據收集自多種來源,包括RiskSense 專有數據、公開的威脅數據庫以及RiskSense研究人員和滲透測試人員的研究成果。該報告研究了2010年至2019年11月期間的1662個漏洞。
報告要點
(1) WordPress 和Struts 成“眾矢之的”
在過去十年中,單是這兩種框架就占據57%的被武器化漏洞。WordPress 雖面臨多種問題但XSS 漏洞是最常見問題,而輸入驗證是Apache Struts 框架的最大風險。它們各自相應的底層語言php 和JAVA 也是最常被武器化的語言。
(2) 2019年漏洞數量下降但武器化率提高
雖然和之前相比,2019年的框架漏洞總量下降,但武器化率升至8.5%,而NVD 在同一時期的平均武器化率為其一半不到(3.9%)。這種增長主要是因為Ruby on Rails、WordPress 和Java 中的武器化率增長導致的。
(3) 輸入驗證取代 XSS 成“弱點之王”
雖然XSS 問題是這10年間最常見的漏洞,但在過去5年中跌至第5位。這表明框架在這個重要領域已經取得進展。同時,輸入驗證成為最大的框架安全風險,占過去5年中所有被武器化漏洞的24%,主要影響Apache Struts、WordPress 和Drupal。
總體而言,27.7%的WordPress 漏洞被武器化;Apache Struts 被武器化的漏洞數量排第三,不過它的總體漏洞武器化率在所有框架中是最高的之一,共有38.6%的Struts 漏洞遭武器化。
SaltStack公司的產品管理負責人Mehul Revankar 表示,Apache Struts 是武器化率最高的應用框架之一是有道理的。它是當代很多web 應用的關鍵依賴關系,目前難以知曉某款應用是否使用該框架。
(4) 注入弱點被高度武器化
雖然和SQL 注入、代碼注入和多種命令注入相關的漏洞仍然非常罕見,但其中一些漏洞的武器化率最高,常常超過50%。事實上,前三大武器化率最高的弱點是命令注入(60%)、OS命令注入(50%)和代碼注入(39%)。這使得它們成為攻擊者追逐的“座上客”。
(5) Java 和 Python 框架的武器化率最低
例如,2019年,基于Java 的Node.js 中的漏洞數量要大大低于其它Java 框架,共有56個漏洞但被武器化的只有1個。同樣,Django 共有66個漏洞但被武器化的只有1個。
nVisium 公司的首席執行官Jack Mannino 表示,“十年來,web 應用漏洞已成為越來越成熟的攻擊向量。WordPress 和Apache Struts 實現因過時的插件和庫版本而備受詬病。由于在很長時間這些系統仍未被修復更新,因此它們被暴露的幾率較高。這些科技的現成利用遍布攻擊者工具集,而未來仍將如此。”
原文鏈接
https://risksense.com/press_release/risksense-spotlight-report-finds-wordpress-and-apache-are-most-weaponized-web-and-Application-frameworks/
題圖:Pixabay License
本文由奇安信代碼衛士編譯,不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士
