研究显示,2013年,web应用程序供应商在发现一个漏洞后,平均需要将近两周的时间发布关键的安全更新。
根据瑞士信息安全公司High-Tech Bridge的最新“WEB应用安全趋势”报告,这个时间比前一年缩短了35%。
2012年为一个关键的安全漏洞推出补丁的平均时间为17天,2013年缩短到11天。另外,针对所有风险的平均响应时间为18天,也有了33%的改善。
High-Tech Bridge的这份报告呈现了供应商通知一个漏洞后响应的时间和发布安全补丁的时间。
大多数供应商都会公平、快速地提醒用户识别出漏洞,但不是全部。
High-Tech Bridge的CEO Ilia Kolochenko表示:“用11天为关键漏洞打补丁还是太长。但是,值得庆幸的是,尽管严重漏洞的检测和利用已经变得越来越复杂,但还是有厂商能够在三小时之内对复杂漏洞做出反应,比如BigTree CMS。”
安全意识逐渐增强
这份最新的报告显示,供应商对应用安全的重要性的普遍认识正在增长,因为现在在谈论安全问题时都会很严肃。
报告称,过去,知名供应商会延期发布安全相关的补丁程序,因为这有助于他们发布具有新功能和漏洞补丁的新版本的软件。但是在2013年,没有大的供应商采取了这种安全的优先功能的“危险方法”。
根据High-Tech Bridge的报告,在2013年厂商发布的62个安全公告中,只有三个没有打补丁。
报告称,尽管更好的编码实践使得在成熟的应用中很难找到严重漏洞,但是还是有由于基本的错误导致破坏的情况。比如,没有删除安装脚本,使得网络罪犯危及整个应用程序。
Kolochenko表示:“这就凸显了独立安全测试和web应用程序审计的重要性,因为即使是专业的开发人员也可能忘记控制重要的安全点。”
很多以前的这种被评为高风险或关键风险的漏洞在2013年的公告中都降级为中等风险,因为攻击者想利用这种漏洞的话需要先认证或登录。
Kolochenko表示:“这就证实了web开发人员还需要注意应用程序的安全部分只允许‘可信’团队的访问,但实际上有可能是恶意访问。”
内部应用程序、XSS以及SQLi最容易受到攻击
High-Tech bridge结合web应用安全测试软件和渗透测试的统计研究发现,内部应用程序是最容易受到攻击。
内部应用程序占最容易受到攻击的应用的40%,其次是内容管理系统的插件和模块,为30%,小型内容管理系统占25%,大型内容管理系统(比如WordPress)占5%。
跨站脚本(XSS)攻击和SQL注入(SQLi)漏洞仍是2013年发现的最常见的弱点,分别占所有漏洞的55%和20%。
High-Tech Bridge的首席研究官Marsel Nizamutdinov表示,有90%的大中型内容管理系统很容易受到XSS和SQL的攻击,因为它们通常不更新或者配置不对。
但是,我们的研究在给这个行业带来积极影响方面也取得了很大的进步,因为在我们与软件供应商的努力和协作下,数以万计的流行的网站已经不再处于风险之中。