WordPress 和 Apache Struts 成为 2019 年漏洞最多的 Web 组件 原

 Change 嘶吼专业版 


WordPress 和 Apache Struts 成为 2019 年漏洞最多的 Web 组件  原

一项分析发现,WordPress和ApacheStruts网络框架是2019年网络犯罪分子最关注的目标。

WordPress 和 Apache Struts 成为 2019 年漏洞最多的 Web 组件  原

WordPress和Apache Struts漏洞是2019年网络和应用程序框架中网络犯罪分子最关注的漏洞-而输入验证漏洞超越了跨站点脚本(XSS),成为受***最多的漏洞类型。

RiskSense Spotlight 报告分析了2010年至2019年11月之间的1,622个漏洞。Web框架简化了应用程序和网站的开发和部署。Web框架可以为开发人员的许多常见任务提供现成的构建块,而不是要求开发人员用PHP,HTML等写出每一行代码。

RiskSense首席执行官Srinivas Mukkamala在一份媒体声明中提到:

即使使用应用程序最佳实践的方法进行开发,框架漏洞也可能使组织面临安全威胁。同时,升级框架可能会带来风险,因为升级的变化会影响应用程序的行为,外表或内在安全性。可能的结果是,框架漏洞替代了组织的受***面中最重要的,但知之甚少且经常被忽视的要素之一。

该公司发现,在这一年中,仅WordPress和Apache Struts的框架错误被***就占了总***的57%。它们各自的基础语言(WordPress使用PHP,Apache Struts使用Java)也是使用最多的语言。

而且,尽管WordPress在一年中发现了许多不同类型的错误,但根据分析,XSS是最常见的问题。同时,输入验证是Apache Struts框架面临的最大风险。

除了其在WordPress中的普遍性外,近几年XSS缺陷的数量在总体上有所下降:XSS是10年研究期内最常见的漏洞,但在最近五年进行分析时,它降至第五位。同时,输入验证在过去五年中占所有武器化漏洞的24%,主要影响Apache Struts,WordPress和Drupal。

分析还发现,尽管去年框架中网络安全漏洞的总数下降了,但这些漏洞的实际武器化率却上升了。该比率在2019年跃升至8.6%,是同期全国漏洞数据库平均值3.9%的两倍多。

总计有27.7%的WordPress漏洞被武器化。报告发现,Apache Struts的漏洞武器化率可以排到前三,也是所有武器化的漏洞框架中最高的那个,并且,38.6%的Apache Struts漏洞都被武器化了。

报告指出:“Laravel的武器化率更高,但这仅基于四个漏洞。”

SaltStack产品管理总监Mehul Revankar对Threatpost说:“毫无疑问,Apache Struts是目前武器化最严重的应用程序框架之一。这是许多现代Web应用程序的关键依赖项,尚不清楚应用程序是否在使用它。”

Apache Struts漏洞排在2017年臭名昭著的Equifax漏洞之后,Equifax漏洞影响了1.47亿人。

研究还发现,一些特定类型的错误有着更高的武器化率。例如,SQL注入,代码注入和各种命令注入受到网络***者的追捧,尽管很少见,但在研究中武器化率却超过一半。细分而言,按武器化率的高地排序,前三个漏洞是命令注入(武器化占60%),操作系统命令注入(武器化占50%)和代码注入(武器化占39%)。

此外,JavaScript和Python框架是漏洞被武器化最少的。例如,根据这项研究,去年基于JavaScript的Node.js的漏洞数量比其他JavaScript框架高得多,共有56个漏洞,但迄今为止只有一个被武器化。同样,Django也有66个漏洞,只有一个被武器化。

nVisium首席执行官Jack Mannino在对Threatpost的讲话中提到:

在过去的十年中,Web应用程序漏洞已成为越来越成熟的***媒介。众所周知,特别是WordPress和Apache Struts实施受到过时的插件和库版本的困扰。由于这些系统未打补丁且长时间未更新,因此暴露的可能性很高。针对这些技术的现成***已在***者工具中普遍存在,并将继续存在。

参考来源:https://threatpost.com/wordpress-apache-struts-most-bug-exploits/153927/?utm_source=rss&utm_medium=rss&utm_campaign=wordpress-apache-struts-most-bug-exploits

WordPress 和 Apache Struts 成为 2019 年漏洞最多的 Web 组件  原

上一篇:球队管理系统 JAVA MySQL


下一篇:办北京证书G