移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

呵护利用法度安然成企业迫在眉睫标题问题

时间:2013-05-03 13:18来源:TuZhiJiaMi企业信息安全专家 点击:
SQL注进缝隙是在今朝的报复打击中最常被滥用的缝隙,也是最等闲修复的缝隙。按照Veracode最新软件安然状况陈述显示,三分之一的利用法度中仍然存在SQL注进缝隙,并且这个数量趋于不变,这
Tags应用安全(1006)应用程序(59)谷歌(156)注入漏洞(26)  

  SQL注进缝隙是在今朝的报复打击中最常被滥用的缝隙,也是最等闲修复的缝隙。按照Veracode最新软件安然状况陈述显示,三分之一的利用法度中仍然存在SQL注进缝隙,并且这个数量趋于不变,这反应了呵护软件安然仍然有漫长而艰巨的道路要走。

  Veracode发现,此前SQL注进缝隙数面前目今降的趋势此刻已根基处于搁浅状况,32%的Web利用法度仍然存在SQL注进缝隙。Veracode公司研究副总裁Chris Eng暗示:“之前的陈述显示SQL注进缝隙闪现出降落的趋势,可是幅度不大年夜,每个季度降落1%摆布,而此刻已趋于不变。”这类安稳的趋势也多是因为呈现了之前没有被Veracode查抄过的新利用法度。

  Eng暗示:“SQL注进缝隙的环境可能已变得有点糟,但假定你从头利用法度的角度来看,其实不是如许。安然行业并没有突然遏制存眷这些缝隙或修复它们。”

  Veracode在其陈述中还作出猜想:本年大年夜约有30%的泄漏变乱将操纵SQL注进,并且,因为此刻报复打击手艺信息很等闲获得,这将导致呈现更多“平常黑客”。例如,谷歌搜刮“SQL注进报复打击”将会返回174万个搜刮成果,包含视频和报复打击指导信息。

  Veracode还发现,在利用法度初次提交到Veracode的扫描办事时,70%的企业利用法度未能遵循该公司的安然政策。随后这个数字并没有太大年夜改变。

  别的,按照Cenzic近似的陈述显示,其往年测试的利用法度中,99%的利用法度包含一个或多个严重缝隙。在2012年,每个利用法度中缝隙数量标中位数是13,而2011年为16。该陈述称:“但也有好动静,良多这些缝隙比较等闲被利用法度安然团队检测、禁止和修复。”该陈述还发现,跨站脚本是最多见的缝隙(26%的利用法度),其次是信息泄漏(16%)和会话治理(16%),和身份验证和授权(13%)。Cenzic发现6%的法度中包含SQL注进缝隙。

  其他利用法度安然公司也看到了一些好转的迹象。WhiteHat Security初创人兼首席手艺官Jeremiah Grossman暗示,其公司在过往两三年中发现SQL注进缝隙在降落,在2011年只有12%的网站包含这类缝隙,而2012年仅为7%。

  WhiteHat和Veracode的查询拜访成果之间的差别多是因为他们扫描的利用法度类型的不合,前者查抄的是主网站,而后者是查抄Web利用法度。即便如斯,报复打击者需要的只是一个可操纵的缝隙。Grossman称,“只需要一个SQL注进缝隙,报复打击者的方针凡是不是主网站,而是次级网站。但总的来讲,环境正在改良,当然速度不快。”Grossman暗示,复杂年夜的软件缝隙标题问题也诠释了相对迟缓的清理过程。

  按照Veracode陈述显示,在第一次和第二次扫描之间,对SQL注进缝隙,基于Java的利用法度获得了16%的改良,二队跨站脚本缝隙获得了14%的改良,.NET也相当不错,别离为25%和15%。Eng暗示:“这表白,针对某些类型的缝隙,或许某些说话供给更好的内置呵护,例如,.NET有更多针对跨站脚本的内置呵护。”

  Veracode和Cenzic的陈述都发现移动利用法度安然环境很糟,一个很大年夜的标题问题在于这些利用法度对加密密钥的措置。约64%的Android和58%的iOS利用法度存在加密机制标题问题,例如加密密钥和暗码被硬编码到利用法度。别的,移动利用法度在需要时没有益用SSL。

  Cenzic的托管办事小组发现移动利用法度存在的首要安然标题问题包含输进验证(21%)、会话治理(11%)和加害隐私(25%)。

------分隔线----------------------------

推荐内容
收缩
  • 电话咨询

  • 15301617701