惠普研究发现广泛存在的自定义Web应用程序漏洞

安全 应用安全
一项由惠普公司进行的关于自定义Web应用程序的分析显示,自定义Web应用程序容易产生各种常见的编码错误。

2011年公开报道的新的安全漏洞的数量下降了20%,但一项由惠普公司进行的关于自定义Web应用程序的分析显示,自定义Web应用程序容易产生各种常见的编码错误。

惠普警告安全专业人士,不要因为公开报道上整体漏洞的减少而对安全产生错误的感觉。根据2011年惠普网络安全风险报告(HP2011CyberSecurityRisksReport),漏洞数量的下降可以归因于多种因素,包括软件安全方面的改进和不断变化的漏洞信息披露趋势,后者可能会造成相当数量的漏洞未统计。该报告于上周发布,对来自开源漏洞数据库(OpenSourceVulnerabilityDatabase,OSVDB)、惠普DVLabs的零日计划和惠普Fortify的网络安全研究人员的数据进行了详细的分析。

尽管2006年以来,在商业上可用的网络应用程序的漏洞数量一直在下降,但由惠普Fortify部门进行的、关于超过359个独特的自定义Web应用程序的审查,却向我们展示了不同的一面。分析发现,许多自定义的Web应用程序中蔓延着常见的编码错误,这使它们容易出现跨站点脚本和SQL注入攻击。

对自定义的Web应用程序进行静态分析后发现,超过一半的应用程序在跨站点脚本方面是非常脆弱的,且86%的程序都很难抵御注入漏洞。自定义应用程序也容易受到不安全的直接对象引用漏洞,且几乎它们都容易遭遇信息泄漏和错误处理不当。动态分析(即通过执行实时数据来评估程序)发现,66%以上的程序易受不安全通信的漏洞影响。“99%的黑客攻击是为了进行信息收集,所以这并非是微不足道。”报告中写道。

惠普称,数据显示,自定义Web应用程序的编码错误是非常普遍的,攻击者们越来越多的以它们为攻击目标。从2010年至2011年,Web应用攻击增长了近50%。观察到的总攻击的13%是由TippingPointIPS的客户和蜜罐组成的,它们过去是为趋势分析和新兴威胁检测捕捉新漏洞的。惠普发现许多攻击是由黑洞漏洞工具包(BlackHoleExploitKit)驱动的,它是一个自动攻击工具包,因传播宙斯,Cutwail,Spyeye,和Carberp僵尸而出名。

“任何规模级别的企业仍面临着基本安全错误问题,如信息泄漏和不安全的通信”,报告中写道,“应采取措施,以确保应用程序中没有那些潜在的对攻击者而言重要的资料。最终的解决方案应是将安全嵌入在发展过程中,而不是做表面功夫。”

该报告调查发现,在部署补丁程序方面,或为防止执行跨站点脚本攻击而支持内置到微软InternetExplorer8中的新的浏览器安全功能方面,网站管理员们是失败的。

在2011年披露的十大商业漏洞名单上,AdobeShockwave位列第一。接下来的是苹果QuickTime错误,HPDataProtector缺陷和甲骨文的Java漏洞。这些信息来源于HPDVLabs零日计划,该计划的内容是从安全研究人员那里购买漏洞信息,然后再免费的将信息提供给受影响的厂商。而RealNetworks公司的RealPlayer,Adobe公司的Reader,微软的IE,微软OfficeNovelliPrint和惠普OpenView错误“填补”了ZDI商用产品十大漏洞名单上的其余空位。

 

责任编辑:Oo小孩儿 来源: TechTarget中国
相关推荐

2009-11-11 17:15:57

2022-12-17 00:08:36

2013-09-03 15:45:50

2013-11-15 09:13:57

2010-07-28 19:24:10

2019-09-06 14:51:40

Python数据库脚本语言

2009-07-09 16:47:26

Servlet的Web

2009-04-01 14:33:33

2012-04-28 10:28:38

2010-05-20 09:48:36

2011-03-22 14:12:17

LAMP

2012-08-23 08:46:53

小型企业商务应用自定义视图

2011-10-28 10:17:11

2009-05-04 09:09:17

木马安全漏洞

2012-08-17 10:07:58

IBMdW

2012-04-19 09:34:21

ibmdw

2009-01-16 09:22:40

Web应用程序Web程序管理Web服务

2009-02-27 17:00:25

2023-11-07 11:55:20

点赞
收藏

51CTO技术栈公众号