2011年公开报道的新的安全漏洞的数量下降了20%,但一项由惠普公司进行的关于自定义Web应用程序的分析显示,自定义Web应用程序容易产生各种常见的编码错误。
惠普警告安全专业人士,不要因为公开报道上整体漏洞的减少而对安全产生错误的感觉。根据2011年惠普网络安全风险报告(HP2011CyberSecurityRisksReport),漏洞数量的下降可以归因于多种因素,包括软件安全方面的改进和不断变化的漏洞信息披露趋势,后者可能会造成相当数量的漏洞未统计。该报告于上周发布,对来自开源漏洞数据库(OpenSourceVulnerabilityDatabase,OSVDB)、惠普DVLabs的零日计划和惠普Fortify的网络安全研究人员的数据进行了详细的分析。
尽管2006年以来,在商业上可用的网络应用程序的漏洞数量一直在下降,但由惠普Fortify部门进行的、关于超过359个独特的自定义Web应用程序的审查,却向我们展示了不同的一面。分析发现,许多自定义的Web应用程序中蔓延着常见的编码错误,这使它们容易出现跨站点脚本和SQL注入攻击。
对自定义的Web应用程序进行静态分析后发现,超过一半的应用程序在跨站点脚本方面是非常脆弱的,且86%的程序都很难抵御注入漏洞。自定义应用程序也容易受到不安全的直接对象引用漏洞,且几乎它们都容易遭遇信息泄漏和错误处理不当。动态分析(即通过执行实时数据来评估程序)发现,66%以上的程序易受不安全通信的漏洞影响。“99%的黑客攻击是为了进行信息收集,所以这并非是微不足道。”报告中写道。
惠普称,数据显示,自定义Web应用程序的编码错误是非常普遍的,攻击者们越来越多的以它们为攻击目标。从2010年至2011年,Web应用攻击增长了近50%。观察到的总攻击的13%是由TippingPointIPS的客户和蜜罐组成的,它们过去是为趋势分析和新兴威胁检测捕捉新漏洞的。惠普发现许多攻击是由黑洞漏洞工具包(BlackHoleExploitKit)驱动的,它是一个自动攻击工具包,因传播宙斯,Cutwail,Spyeye,和Carberp僵尸而出名。
“任何规模级别的企业仍面临着基本安全错误问题,如信息泄漏和不安全的通信”,报告中写道,“应采取措施,以确保应用程序中没有那些潜在的对攻击者而言重要的资料。最终的解决方案应是将安全嵌入在发展过程中,而不是做表面功夫。”
该报告调查发现,在部署补丁程序方面,或为防止执行跨站点脚本攻击而支持内置到微软InternetExplorer8中的新的浏览器安全功能方面,网站管理员们是失败的。
在2011年披露的十大商业漏洞名单上,AdobeShockwave位列第一。接下来的是苹果QuickTime错误,HPDataProtector缺陷和甲骨文的Java漏洞。这些信息来源于HPDVLabs零日计划,该计划的内容是从安全研究人员那里购买漏洞信息,然后再免费的将信息提供给受影响的厂商。而RealNetworks公司的RealPlayer,Adobe公司的Reader,微软的IE,微软OfficeNovelliPrint和惠普OpenView错误“填补”了ZDI商用产品十大漏洞名单上的其余空位。