欢迎阅读 2020 年版的 Acunetix Web 应用程序漏洞报告。
每年,Acunetix都会分析从 Acunetix Online 收到的数据并创建漏洞测试报告。此报告代表 Web 应用程序和网络边界的安全状态。今年的报告包含基于 5,000 个扫描目标的数据,在 2019 年 3 月至 2020 年 2 月的 12 个月期间检测到的漏洞的结果和分析。此分析主要适用于在 Web 应用程序中发现的高、中严重漏洞,以及外围网络漏洞数据。
虽然人们可能认为 Web 应用程序总体上正在慢慢变得更加安全,但事实并非如此乐观。我们观察到,受 Web 漏洞扫描保护的应用程序变得更加安全。我们还注意到,相对较新的目标具有更多的漏洞。
从安全的角度来看,这是令人担忧的。这意味着新开发人员不具备避免漏洞所需的知识。它还表明,这些开发人员在不促进网络安全的开发结构中工作。不幸的是,旧习惯很难改掉。
我们在 25% 的采样目标中发现了跨站点脚本 (XSS) 漏洞、易受攻击的 JavaScript 库和 WordPress 相关问题——当然很多。这意味着 Web 应用程序仍然非常脆弱,但即便如此,这个数字还是比去年减少了 30%。似乎经验丰富的网站开发人员和系统管理员正在取得进展。SQL 注入问题的情况类似——就像去年一样,数量正在减少。
AWAVR20_figure01 图 1. 逐年漏洞。 对交互式 Web 应用程序的需求正在增长。因此,Web 应用程序使用越来越多的客户端技术。因此,JavaScript 库的数量不断增加。许多这些库都有漏洞。它们的作者和用户都知道这些漏洞。然而,大约 25% 的 Web 应用程序使用此类易受攻击的库。
当我们比较服务器端编程语言时,这也很有趣。我们看到 PHP 仍然像以前一样流行。第二流行的语言是 ASP.NET,但开发人员越来越多地使用其他不太流行的服务器端语言。
AWAVR20_figure02 图 2. 服务器端编程语言的使用。
当我们谈论漏洞时,情况就不同了。
PHP 漏洞的百分比下降了很多。ASP 或 ASP.NET 漏洞的百分比正在增长。 Apache/nginx 中的漏洞百分比下降了很多。IIS 漏洞的百分比正在增长。
cvar Cryo = require('cryo'); var obj = { testFunc : function() {return 1111;} };
var frozen = Cryo.stringify(obj); console.log(frozen)
v