Web應用程序安全公司Netsparker使用他們的自動化安全掃描工具,對396 個Web應用程序進行了掃描,發現了269個安全漏洞,其中最多的漏洞是跨站點腳本(XSS)和SQL注入(SQLI)漏洞,占到全部漏洞數量的87%,其中甚至還有多個零日漏洞。
對每個漏洞類別細分,研究人員發現了180個 XSS漏洞,如反射XSS,存儲XSS等等,占到全部漏洞的67%, XSS漏洞占掃描發現所有安全漏洞的67%;其次是SQL注入漏洞,數量有55個,占到全部漏洞數量20%。第三名是遠程和本地文件包含漏洞,數量有16個,包括跨站請求偽造(CSRF),遠程命令執行(RCE)命令注入,打開重定向,HTTP頭注入和框架注入等漏洞。
這次掃描還統計了開源應用程序使用的編程語言種類,其中大多數使用PHP編程,有326個,其次使用ASP / ASP.NET進行編程,有31個。其他39應用程序使用超過10種不同技術組合構建。軟件開發環境如此多樣化,也是導致大量安全漏洞的原因之一。
京公網安備 11010502049343號