科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全惠普研究发现广泛存在的自定义Web应用程序漏洞

惠普研究发现广泛存在的自定义Web应用程序漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

一项由惠普公司进行的关于自定义Web应用程序的分析显示,自定义Web应用程序容易产生各种常见的编码错误。

来源:TechTarget中国 2012年4月26日

关键字: Web应用程序漏洞 惠普

  • 评论
  • 分享微博
  • 分享邮件

  2011年公开报道的新的安全漏洞的数量下降了20%,但一项由惠普公司进行的关于自定义Web应用程序的分析显示,自定义Web应用程序容易产生各种常见的编码错误。

  惠普警告安全专业人士,不要因为公开报道上整体漏洞的减少而对安全产生错误的感觉。根据2011年惠普网络安全风险报告(HP 2011 Cyber Security Risks Report),漏洞数量的下降可以归因于多种因素,包括软件安全方面的改进和不断变化的漏洞信息披露趋势,后者可能会造成相当数量的漏洞未统计。该报告于上周发布,对来自开源漏洞数据库(Open Source Vulnerability Database,OSVDB)、惠普DVLabs的零日计划和惠普Fortify的网络安全研究人员的数据进行了详细的分析。

  尽管2006年以来,在商业上可用的网络应用程序的漏洞数量一直在下降,但由惠普Fortify部门进行的、关于超过359个独特的自定义Web应用程序的审查,却向我们展示了不同的一面。分析发现 ,许多自定义的Web应用程序中蔓延着常见的编码错误,这使它们容易出现跨站点脚本和SQL注入攻击。

  对自定义的Web应用程序进行静态分析后发现,超过一半的应用程序在跨站点脚本方面是非常脆弱的,且86%的程序都很难抵御注入漏洞。自定义应用程序也容易受到不安全的直接对象引用漏洞, 且几乎它们都容易遭遇信息泄漏和错误处理不当。动态分析(即通过执行实时数据来评估程序)发现,66%以上的程序易受不安全通信的漏洞影响。“99%的黑客攻击是为了进行信息收集,所以这并非是微不足道。”报告中写道。

  惠普称,数据显示,自定义Web应用程序的编码错误是非常普遍的,攻击者们越来越多的以它们为攻击目标。从2010年至2011年,Web应用攻击增长了近50%。观察到的总攻击的13%是由TippingPoint IPS的客户和蜜罐组成的,它们过去是为趋势分析和新兴威胁检测捕捉新漏洞的。惠普发现许多攻击是由黑洞漏洞工具包(Black Hole Exploit Kit)驱动的,它是一个自动攻击工具包,因传播宙斯,Cutwail,Spyeye,和Carberp僵尸而出名。

  “任何规模级别的企业仍面临着基本安全错误问题,如信息泄漏和不安全的通信”,报告中写道,“应采取措施,以确保应用程序中没有那些潜在的对攻击者而言重要的资料。最终的解决方案应是将安全嵌入在发展过程中,而不是做表面功夫。”

  该报告调查发现,在部署补丁程序方面,或为防止执行跨站点脚本攻击而支持内置到微软Internet Explorer 8中的新的浏览器安全功能方面,网站管理员们是失败的。

  在2011年披露的十大商业漏洞名单上,Adobe Shockwave位列第一。接下来的是苹果QuickTime错误,HP Data Protector缺陷和甲骨文的Java漏洞。这些信息来源于HP DVLabs零日计划,该计划的内容是从安全研究人员那里购买漏洞信息,然后再免费的将信息提供给受影响的厂商。而RealNetworks公司的RealPlayer,Adobe公司的Reader,微软的IE,微软Office Novell iPrint和惠普OpenView错误“填补”了ZDI商用产品十大漏洞名单上的其余空位。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章