Acunetix Web 应用程序漏洞报告 2020

欢迎阅读 2020 年版的 Acunetix Web 应用程序漏洞报告。

每年,Acunetix都会分析从 Acunetix Online 收到的数据并创建漏洞测试报告。此报告代表 Web 应用程序和网络边界的安全状态。今年的报告包含基于 5,000 个扫描目标的数据,在 2019 年 3 月至 2020 年 2 月的 12 个月期间检测到的漏洞的结果和分析。此分析主要适用于在 Web 应用程序中发现的高、中严重漏洞,以及外围网络漏洞数据。

虽然人们可能认为 Web 应用程序总体上正在慢慢变得更加安全,但事实并非如此乐观。我们观察到,受 Web 漏洞扫描保护的应用程序变得更加安全。我们还注意到,相对较新的目标具有更多的漏洞。

从安全的角度来看,这是令人担忧的。这意味着新开发人员不具备避免漏洞所需的知识。它还表明,这些开发人员在不促进网络安全的开发结构中工作。不幸的是,旧习惯很难改掉。

我们在 25% 的采样目标中发现了跨站点脚本 (XSS) 漏洞、易受攻击的 JavaScript 库和 WordPress 相关问题——当然很多。这意味着 Web 应用程序仍然非常脆弱,但即便如此,这个数字还是比去年减少了 30%。似乎经验丰富的网站开发人员和系统管理员正在取得进展。SQL 注入问题的情况类似——就像去年一样,数量正在减少。

AWAVR20_figure01 图 1. 逐年漏洞。 对交互式 Web 应用程序的需求正在增长。因此,Web 应用程序使用越来越多的客户端技术。因此,JavaScript 库的数量不断增加。许多这些库都有漏洞。它们的作者和用户都知道这些漏洞。然而,大约 25% 的 Web 应用程序使用此类易受攻击的库。

当我们比较服务器端编程语言时,这也很有趣。我们看到 PHP 仍然像以前一样流行。第二流行的语言是 ASP.NET,但开发人员越来越多地使用其他不太流行的服务器端语言。

AWAVR20_figure02 图 2. 服务器端编程语言的使用。

当我们谈论漏洞时,情况就不同了。

PHP 漏洞的百分比下降了很多。ASP 或 ASP.NET 漏洞的百分比正在增长。 Apache/nginx 中的漏洞百分比下降了很多。IIS 漏洞的百分比正在增长。

cvar Cryo = require('cryo'); var obj = { testFunc : function() {return 1111;} };

var frozen = Cryo.stringify(obj); console.log(frozen)

v

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值