編譯:奇安信代碼衛(wèi)士團(tuán)隊(duì)
概要
漏洞風(fēng)險(xiǎn)管理公司RiskSense 剛剛發(fā)布關(guān)于頂級(jí)Web 和應(yīng)用框架漏洞的報(bào)告指出,2019年的框架漏洞總量下降但武器化率提高,其中wordPress/ target=_blank class=infotextkey>WordPress 和Apache Struts 擁有最多武器化漏洞,而輸入驗(yàn)證超越跨站點(diǎn)腳本,成為框架中最常被武器化的弱點(diǎn)。
RiskSense 公司的首席執(zhí)行官Srinivas Mukkamala 指出,“即便遵循了最佳應(yīng)用開(kāi)發(fā)實(shí)踐,但框架漏洞可導(dǎo)致組織機(jī)構(gòu)發(fā)生安全事件。同時(shí),更新框架也會(huì)帶來(lái)危險(xiǎn),因?yàn)楦目捎绊憫?yīng)用程序的行為、外觀或內(nèi)在安全。因此,框架漏洞是最重要的但尚未被完全理解以及常被忽視的企業(yè)攻擊面的元素之一。”而這些漏洞如被利用,則可造成類似Equifax公司發(fā)生的導(dǎo)致1.47億人員數(shù)據(jù)遭泄露的嚴(yán)重后果。
報(bào)告的數(shù)據(jù)收集自多種來(lái)源,包括RiskSense 專有數(shù)據(jù)、公開(kāi)的威脅數(shù)據(jù)庫(kù)以及RiskSense研究人員和滲透測(cè)試人員的研究成果。該報(bào)告研究了2010年至2019年11月期間的1662個(gè)漏洞。
報(bào)告要點(diǎn)
(1) WordPress 和Struts 成“眾矢之的”
在過(guò)去十年中,單是這兩種框架就占據(jù)57%的被武器化漏洞。WordPress 雖面臨多種問(wèn)題但XSS 漏洞是最常見(jiàn)問(wèn)題,而輸入驗(yàn)證是Apache Struts 框架的最大風(fēng)險(xiǎn)。它們各自相應(yīng)的底層語(yǔ)言php 和JAVA 也是最常被武器化的語(yǔ)言。
(2) 2019年漏洞數(shù)量下降但武器化率提高
雖然和之前相比,2019年的框架漏洞總量下降,但武器化率升至8.5%,而NVD 在同一時(shí)期的平均武器化率為其一半不到(3.9%)。這種增長(zhǎng)主要是因?yàn)镽uby on Rails、WordPress 和Java 中的武器化率增長(zhǎng)導(dǎo)致的。
(3) 輸入驗(yàn)證取代 XSS 成“弱點(diǎn)之王”
雖然XSS 問(wèn)題是這10年間最常見(jiàn)的漏洞,但在過(guò)去5年中跌至第5位。這表明框架在這個(gè)重要領(lǐng)域已經(jīng)取得進(jìn)展。同時(shí),輸入驗(yàn)證成為最大的框架安全風(fēng)險(xiǎn),占過(guò)去5年中所有被武器化漏洞的24%,主要影響Apache Struts、WordPress 和Drupal。
總體而言,27.7%的WordPress 漏洞被武器化;Apache Struts 被武器化的漏洞數(shù)量排第三,不過(guò)它的總體漏洞武器化率在所有框架中是最高的之一,共有38.6%的Struts 漏洞遭武器化。
SaltStack公司的產(chǎn)品管理負(fù)責(zé)人Mehul Revankar 表示,Apache Struts 是武器化率最高的應(yīng)用框架之一是有道理的。它是當(dāng)代很多web 應(yīng)用的關(guān)鍵依賴關(guān)系,目前難以知曉某款應(yīng)用是否使用該框架。
(4) 注入弱點(diǎn)被高度武器化
雖然和SQL 注入、代碼注入和多種命令注入相關(guān)的漏洞仍然非常罕見(jiàn),但其中一些漏洞的武器化率最高,常常超過(guò)50%。事實(shí)上,前三大武器化率最高的弱點(diǎn)是命令注入(60%)、OS命令注入(50%)和代碼注入(39%)。這使得它們成為攻擊者追逐的“座上客”。
(5) Java 和 Python 框架的武器化率最低
例如,2019年,基于Java 的Node.js 中的漏洞數(shù)量要大大低于其它Java 框架,共有56個(gè)漏洞但被武器化的只有1個(gè)。同樣,Django 共有66個(gè)漏洞但被武器化的只有1個(gè)。
nVisium 公司的首席執(zhí)行官Jack Mannino 表示,“十年來(lái),web 應(yīng)用漏洞已成為越來(lái)越成熟的攻擊向量。WordPress 和Apache Struts 實(shí)現(xiàn)因過(guò)時(shí)的插件和庫(kù)版本而備受詬病。由于在很長(zhǎng)時(shí)間這些系統(tǒng)仍未被修復(fù)更新,因此它們被暴露的幾率較高。這些科技的現(xiàn)成利用遍布攻擊者工具集,而未來(lái)仍將如此。”
原文鏈接
https://risksense.com/press_release/risksense-spotlight-report-finds-wordpress-and-apache-are-most-weaponized-web-and-Application-frameworks/
題圖:Pixabay License
本文由奇安信代碼衛(wèi)士編譯,不代表奇安信觀點(diǎn)。轉(zhuǎn)載請(qǐng)注明“轉(zhuǎn)自奇安信代碼衛(wèi)士
