最常见的安全漏洞– Acunetix Web应用程序漏洞报告2021

每年,Acunetix都会为您提供最常见的Web安全漏洞和网络外围漏洞的分析。我们的年度Web应用程序漏洞报告(现已成为Invicti AppSec指标的一部分)是基于从Acunetix在线获得的真实数据。我们随机选择使用我们的软件扫描的网站和Web应用程序,将其匿名化,并进行统计分析。这是我们今年的网络安全调查结果。

Web应用程序安全性状态 不幸的是,《 2021年报告》非常悲观。过去几年的缓慢改善趋势已经逆转。与2020年相比,2021年的一些高中严重漏洞现在更为普遍,其中包括一些严重的安全风险,这些风险可能会导致敏感信息丢失。

我们认为这种趋势逆转是由COVID-19大流行引起的。这种流行病已导致大多数公司采用远程工作,因此许多安全领导者决定将重点放在端点安全,操作系统安全和反恶意软件方面,以对抗网络钓鱼,恶意站点和恶意代码的发作。因此,没有足够的资源可用于提高Web安全性。企业没有投资全面的流程,而是寻求快速且不完善的解决方案,这些解决方案通常基于错误配置的Web应用程序防火墙(WAF Acunetix)。

我们认为,此类决定将来可能会产生严重后果。转向远程的结果是,Web应用程序的重要性提高了。为了提高远程工作的效率,许多企业使用Web应用程序和API通过Web浏览器使其流程可用。这使攻击者可以尝试通过网页访问公司数据,从而可能导致重大数据泄露。

在Forrester Research Acunetix的最新研究《2021年应用程序安全性状况》中,诸如SQL注入,跨站点脚本或远程文件包含之类的Web应用程序是最常被引用的攻击方法。该研究调查了480位具有网络,数据中心,应用安全或安全运营职责的全球安全决策者,这些决策者在2020年遭受了外部攻击。

开发者危机Acunetix 随着向远程的转变,Web软件开发也面临着更多的问题,而不仅仅是缺乏资源。甚至在进行远程工作之前,开发人员经常发现很难编写安全代码,犯了常见的功能错误,跳过了验证,来自不受信任来源的受信任用户输入,将不受信任的数据直接传递给SQL查询,使用了不安全的用户会话ID和会话管理机制, 等等。

由于通讯方面的挑战,新的远程工作环境使开发人员更加难以维护应用程序代码的安全性。如果将安全重点从Web应用程序安全解决方案转移到其他地方,则开发人员也将缺乏工具和培训来提高其与安全相关的技能。如果他们可以使用专业的Web应用程序安全解决方案,则他们不仅会收到有关问题存在的信息,还将获得指导他们将来如何避免此类错误的指南。没有此类工具,开发人员将只会创建越来越多的漏洞。

漏洞一览 我们的报告重点介绍常见的漏洞和安全性错误配置-您还可以在“开放式Web应用程序安全性项目-OWASP十大”列表中找到这些漏洞和安全性错误配置。我们发现较少的SQL注入漏洞和目录遍历(路径遍历)问题,但许多其他严重问题则比上一年更普遍或更普遍。这包括远程代码执行(代码注入),跨站点脚本(XSS)问题,易受攻击的JavaScript库,WordPress漏洞,服务器端请求伪造(SSRF),主机头注入攻击等。

该报告还包含有关其他已知漏洞和软件安全问题的数据,包括缓冲区溢出,拒绝服务和DDoS漏洞,与访问控制和身份验证损坏有关的问题,例如弱密码,Web服务器配置错误等。对于所有这些问题,趋势是相似的:您可以看到数量略有增加。

当心后果 总之,《2021年Web应用程序漏洞报告》再次强调了Web漏洞扫描的重要性,尤其是在COVID-19和远程工作时代。诸如Acunetix之类的扫描程序发现的问题可能会造成严重后果,并导致服务器端敏感数据暴露,包括用户帐户泄露,信用卡信息盗窃,后端数据库的安全漏洞以及对受害者浏览器的客户端攻击。

posted @ 2021-05-21 15:52  51component技术交流  阅读(567)  评论(0编辑  收藏  举报