Netsparker刚刚发布了一些匿名的Web安全统计数据,这些统计数据是关于他们的在线解决方案在过去3年中在其用户的Web应用程序和Web服务上发现的安全漏洞。
这些基于数据的统计数据(不是基于调查)可能非常有用 - 至少可以全面了解正在发生的事情。这些统计数据还有一个坚实的目的 - 它们可以帮助所有开发人员,
安全专业人员和使用Web应用程序的任何人更好地了解可能出现的问题。
XSS比SQL注入更常见
根据OWASP最关键的Web应用程序安全漏洞排行榜前10名,SQL注入已成为过去十年中最关键的Web应用程序漏洞(是的,我们还在等待新版本!)。
虽然Netsparker的统计数据向我们表明它是相反的,至少在数量方面。26%的已识别漏洞,确切地说是40,908,是反射和DOM跨站点脚本(XSS)漏洞的混合。
只有2%的已识别漏洞是SQL注入。这是一个很大的差异,尽管这不是一个令人惊讶的作者。他们说:
开发人员有很多资源来编写不易受SQL注入攻击的代码,例如预处理语句。默认情况下,新框架可以防止SQL注入,并且很难编写不安全的SQL代码。
另一方面,XSS漏洞要解决得更加复杂,即使框架具有内置保护,也很容易出错。
过时且易受攻击的软件仍然是主要的Web应用程序安全风险
更新您的应用程序,服务器和软件 - 苹果,谷歌,微软都在不断努力解决这一问题,但似乎并没有那么大的帮助。
这是最容易遵循的最佳实践之一,尤其是在现代自动更新和补丁管理软件方面。
似乎并非如此人们正在跟踪与过时软件相关的已确定问题的5%。
如果Equifax和Mossack Fonseca的软件是最新的,去年我们就不会有两个互联网上最大的数据泄露事件。
准确性是更安全的Web应用程序的关键
还有其他几个统计数据,我们可以从中学到一些东西,对我来说有趣的是,Netsparker自动验证了大约80%的已识别漏洞。
误报是自动漏洞和安全扫描中的一个大问题,因为有人必须花费数小时来验证结果并清除误报。通过Netsparker自动执行此操作,较小的团队可以执行更有效的工作,更大的团队可以提高工作效率,减少人工验证。
阅读Netsparker扫描网络安全统计报告
该报告更加详细,并且有更多的统计信息,因此请阅读Netsparker扫描统计报告,了解所有数字和常见安全问题,这些问题会使Web应用程序容易受到恶意黑客攻击,并可以避免一些尴尬。
参考:
https://www.netsparker.com/blog/web-security/netsparker-web-security-scan-statistics-2018/
https://www.netsparker.com/blog/web-security/dom-based-cross-site-scripting-vulnerability/