Acunetix Web 应用程序漏洞报告 2020

欢迎阅读 2020 年版的 Acunetix Web 应用程序漏洞报告。

每年，Acunetix都会分析从 Acunetix Online 收到的数据并创建漏洞测试报告。此报告代表 Web 应用程序和网络边界的安全状态。今年的报告包含基于 5,000 个扫描目标的数据，在 2019 年 3 月至 2020 年 2 月的 12 个月期间检测到的漏洞的结果和分析。此分析主要适用于在 Web 应用程序中发现的高、中严重漏洞，以及外围网络漏洞数据。

虽然人们可能认为 Web 应用程序总体上正在慢慢变得更加安全，但事实并非如此乐观。我们观察到，受 Web 漏洞扫描保护的应用程序变得更加安全。我们还注意到，相对较新的目标具有更多的漏洞。

从安全的角度来看，这是令人担忧的。这意味着新开发人员不具备避免漏洞所需的知识。它还表明，这些开发人员在不促进网络安全的开发结构中工作。不幸的是，旧习惯很难改掉。

我们在 25% 的采样目标中发现了跨站点脚本 (XSS) 漏洞、易受攻击的 JavaScript 库和 WordPress 相关问题——当然很多。这意味着 Web 应用程序仍然非常脆弱，但即便如此，这个数字还是比去年减少了 30%。似乎经验丰富的网站开发人员和系统管理员正在取得进展。SQL 注入问题的情况类似——就像去年一样，数量正在减少。

AWAVR20_figure01 图 1. 逐年漏洞。 对交互式 Web 应用程序的需求正在增长。因此，Web 应用程序使用越来越多的客户端技术。因此，JavaScript 库的数量不断增加。许多这些库都有漏洞。它们的作者和用户都知道这些漏洞。然而，大约 25% 的 Web 应用程序使用此类易受攻击的库。

当我们比较服务器端编程语言时，这也很有趣。我们看到 PHP 仍然像以前一样流行。第二流行的语言是 ASP.NET，但开发人员越来越多地使用其他不太流行的服务器端语言。

AWAVR20_figure02 图 2. 服务器端编程语言的使用。

当我们谈论漏洞时，情况就不同了。

PHP 漏洞的百分比下降了很多。ASP 或 ASP.NET 漏洞的百分比正在增长。 Apache/nginx 中的漏洞百分比下降了很多。IIS 漏洞的百分比正在增长。

cvar Cryo = require('cryo'); var obj = { testFunc : function() {return 1111;} };

var frozen = Cryo.stringify(obj); console.log(frozen)

v