网络安全统计显示XSS和过时的软件是主要问题

Posted youyouii

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全统计显示XSS和过时的软件是主要问题相关的知识,希望对你有一定的参考价值。

  Netsparker刚刚发布了一些匿名的Web安全统计数据,这些统计数据是关于他们的在线解决方案在过去3年中在其用户的Web应用程序和Web服务上发现的安全漏洞。

    技术分享图片

 

这些基于数据的统计数据(不是基于调查)可能非常有用 - 至少可以全面了解正在发生的事情。这些统计数据还有一个坚实的目的 - 它们可以帮助所有开发人员,

安全专业人员和使用Web应用程序的任何人更好地了解可能出现的问题。

XSS比SQL注入更常见

根据OWASP最关键的Web应用程序安全漏洞排行榜前10名,SQL注入已成为过去十年中最关键的Web应用程序漏洞(是的,我们还在等待新版本!)。

虽然Netsparker的统计数据向我们表明它是相反的,至少在数量方面。26%的已识别漏洞,确切地说是40,908,是反射和DOM跨站点脚本(XSS)漏洞的混合

只有2%的已识别漏洞是SQL注入。这是一个很大的差异,尽管这不是一个令人惊讶的作者。他们说:

开发人员有很多资源来编写不易受SQL注入攻击的代码,例如预处理语句。默认情况下,新框架可以防止SQL注入,并且很难编写不安全的SQL代码。
另一方面,XSS漏洞要解决得更加复杂,即使框架具有内置保护,也很容易出错。

过时且易受攻击的软件仍然是主要的Web应用程序安全风险

更新您的应用程序,服务器和软件 - 苹果,谷歌,微软都在不断努力解决这一问题,但似乎并没有那么大的帮助。

这是最容易遵循的最佳实践之一,尤其是在现代自动更新和补丁管理软件方面。

 技术分享图片

似乎并非如此人们正在跟踪与过时软件相关的已确定问题的5%。

如果Equifax和Mossack Fonseca的软件是最新的,去年我们就不会有两个互联网上最大的数据泄露事件。

准确性是更安全的Web应用程序的关键

还有其他几个统计数据,我们可以从中学到一些东西,对我来说有趣的是,Netsparker自动验证了大约80%的已识别漏洞。

误报是自动漏洞和安全扫描中的一个大问题,因为有人必须花费数小时来验证结果并清除误报。通过Netsparker自动执行此操作,较小的团队可以执行更有效的工作,更大的团队可以提高工作效率,减少人工验证。

阅读Netsparker扫描网络安全统计报告

该报告更加详细,并且有更多的统计信息,因此请阅读Netsparker扫描统计报告,了解所有数字和常见安全问题,这些问题会使Web应用程序容易受到恶意黑客攻击,并可以避免一些尴尬。

参考:

    https://www.netsparker.com/blog/web-security/netsparker-web-security-scan-statistics-2018/

    https://www.netsparker.com/blog/web-security/dom-based-cross-site-scripting-vulnerability/

 

以上是关于网络安全统计显示XSS和过时的软件是主要问题的主要内容,如果未能解决你的问题,请参考以下文章

代码缺陷解读:加密强度不足缺陷漏洞及使用过时方法缺陷

MySQLJenkins是漏洞最多的两个开源项目

web安全技术--XSS和CSRF

缺陷周话第 12期 :存储型 XSS

缺陷周话第 10 期 :反射型 XSS

web安全测试之 xss攻击