SQL注入漏洞是在目前的攻擊中最常被濫用的漏洞,也是最容易修復的漏洞。根據Veracode最新軟件安全狀況報告顯示,三分之一的應用程序中仍然存在SQL注入漏洞,并且這個數量趨于穩定,這反映了保護軟件安全仍然有漫長而艱難的道路要走。
Veracode發現,此前SQL注入漏洞數量下降的趨勢現在已經基本處于停頓狀態,32%的Web應用程序仍然存在SQL注入漏洞。Veracode公司研究副總裁Chris Eng表示:“之前的報告顯示SQL注入漏洞呈現出下降的趨勢,但是幅度不大,每個季度下降1%左右,而現在已經趨于穩定。”這種平穩的趨勢也可能是因為出現了以前沒有被Veracode檢查過的新應用程序。
Eng表示:“SQL注入漏洞的情況可能已經變得有點糟糕,但如果你從新應用程序的角度來看,并不是這樣。安全行業并沒有突然停止關注這些漏洞或者修復它們。”
Veracode在其報告中還作出預測:今年大約有30%的泄露事故將利用SQL注入,并且,由于現在攻擊技術信息很容易獲得,這將導致出現更多“日常黑客”。例如,谷歌搜索“SQL注入攻擊”將會返回174萬個搜索結果,包含視頻和攻擊指導信息。
Veracode還發現,在應用程序首次提交到Veracode的掃描服務時,70%的企業應用程序未能遵守該公司的安全政策。隨后這個數字并沒有太大改變。
另外,根據Cenzic類似的報告顯示,其去年測試的應用程序中,99%的應用程序包含一個或多個嚴重漏洞。在2012年,每個應用程序中漏洞數量的中位數是13,而2011年為16。該報告稱:“但也有好消息,很多這些漏洞比較容易被應用程序安全團隊檢測、阻止和修復。”該報告還發現,跨站腳本是最常見的漏洞(26%的應用程序),其次是信息泄露(16%)和會話管理(16%),以及身份驗證和授權(13%)。Cenzic發現6%的程序中包含SQL注入漏洞。
其他應用程序安全公司也看到了一些好轉的跡象。WhiteHat Security創始人兼首席技術官Jeremiah Grossman表示,其公司在過去兩三年中發現SQL注入漏洞在下降,在2011年只有12%的網站包含這種漏洞,而2012年僅為7%。
WhiteHat和Veracode的調查結果之間的差異可能是因為他們掃描的應用程序類型的不同,前者檢查的是主網站,而后者是檢查Web應用程序。即便如此,攻擊者需要的只是一個可利用的漏洞。Grossman稱,“只需要一個SQL注入漏洞,攻擊者的目標通常不是主網站,而是次級網站。但總的來說,情況正在改善,雖然速度不快。”Grossman表示,龐大的軟件漏洞問題也解釋了相對緩慢的清理過程。
根據Veracode報告顯示,在第一次和第二次掃描之間,對于SQL注入漏洞,基于Java的應用程序得到了16%的改善,二隊跨站腳本漏洞得到了14%的改善,.NET也相當不錯,分別為25%和15%。Eng表示:“這表明,針對某些類型的漏洞,也許某些語言提供更好的內置保護,例如,.NET有更多針對跨站腳本的內置保護。”
Veracode和Cenzic的報告都發現移動應用程序安全情況很糟糕,一個很大的問題在于這些應用程序對加密密鑰的處理。約64%的Android和58%的iOS應用程序存在加密機制問題,例如加密密鑰和密碼被硬編碼到應用程序。另外,移動應用程序在必要時沒有使用SSL。
Cenzic的托管服務小組發現移動應用程序存在的主要安全問題包括輸入驗證(21%)、會話管理(11%)和侵犯隱私(25%)。
京公網安備 11010502049343號