调查:96% 的应用程序有安全漏洞

Web安全和渗透测试厂商Cenzic公司最新发表的报告称,补丁部署的改善和安全编码做法缓解了安全漏洞的影响。然而,自带设备工作、云服务和移动应用 的出现以及机构不能检测和解决信息泄露、身份识别和授权以及进程管理等问题几乎使安全漏洞无处不在,96%应用存在安全漏洞。事实上,每个应用平均有14 个安全漏洞,超过去年平均13个的数量。

这篇报告中披露的应用程序安全漏洞的范围包括:

  1. 移动应用中的安全漏洞在悄悄增长。80%的移动应用包含侵犯隐私和权限过大漏洞。
  2. 与第三方共享的应用中的安全漏洞在增长。机构外部的云服务提供商和供应链伙伴是目前威胁的主要来源。
  3. 有安全漏洞的应用引起信息泄露。23%的安全漏洞与信息泄露有关。
  4. 跨站脚本等老问题仍是安全漏洞的原因。25%的安全漏洞与跨站脚本有关。
  5. 其他方面的混合的安全漏洞也不可忽视。身份识别或授权方面的瑕疵占安全漏洞的15%,进程管理错误占安全漏洞的13%。

这些安全漏洞许多都是可以避免的。Cenzic介绍了能够保证应用程序安全的一些措施。

·采用安全编码的做法。应用开发者要使用一些技术避开潜在的安全突破问题。高质量的编写代码对于阻止攻击是最有效的。

·使用Web应用防火墙、基于Web的应用防火墙能够根据政策阻止应用中存在的具体的安全漏洞,不用重新编写应用代码。

·保证正确的服务器设置。这是管理服务器硬件、操作系统和运行具体应用的设备的安全证书的广泛的做法。

稿源:CCIDnet赛迪网

文章转载自 开源中国社区 [http://www.oschina.net]

时间: 2024-09-20 12:32:26

调查:96% 的应用程序有安全漏洞的相关文章

PW论坛程序爆高危漏洞 大量网站遭遇“黑色周末”

编者按:PHPWind Forums(以下简称PW)是国内比较著名的PHP论坛程序,也是使用最为广泛的论坛程序之一.上周,PW论坛程序的一个漏洞被广泛传播,所有使用该程序的论坛能在几分钟内被黑!一时间"黑客"猖獗,个人站长损失惨重! "黑客": 这个周末有点High 2007年4月6日18:09,PW官方论坛出现一个标题为<PW5.X所有版本通杀的最新漏洞-->的提醒帖子,与此同时,"黑色周末"降临了.陆续有人四处发布关于漏洞的信息,

看我如何发现Github企业版程序SQL注入漏洞并获得5000美刀赏金

看我如何发现Github企业版程序SQL注入漏洞并获得5000美刀赏金.GitHub企业版软件是专供公司团体用来部署在内网进行开发服务的商业性应用程序.Github企业版采用标准OVF格式集成,以虚拟机(VM)镜像方式发布,可以在enterprise.github.com网站注册下载45天试用版本,并把其部署在任何虚拟机环境中.通过下载其试用版本软件进行分析,我花了一周时间,发现了其中存在的SQL注入漏洞,并获得了5000美元漏洞赏金. Github企业版VM环境安装之后的效果如下: 现在,Gi

网站程序中非SI漏洞的利用_漏洞研究

Part I 前言  现在网上最流行的网站攻击手段,要数得上SQL Injection了,虽然SI技术易学易用,并且容易取得较大的权限,但因其风头实在太大,现在一般稍有点安全意识的程序员都会注意到这个问题,并且通过GET方法提交的数据会被服务器记录在案,而让网管很容易找到入侵者.  非SI类攻击相对来说获得的服务器操作权限不大,但对于以获得数据为目的的入侵还是很有用的.  Part II 方法介绍  常规的非SI类攻击有如下几种:  一. 跨站脚本攻击(XSS)  跨站脚本攻击不会直接对网站服务

恶意程序利用 Java 漏洞攻击雅虎访问者

荷兰安全公司Fox IT 报告, 雅虎广告服务器ads.yahoo.com遭黑客入侵,被利用传播恶意程序.恶意程序利用Java漏洞感染访问雅虎网站的浏览者,在受害者机器上安装不同 恶意组件.Java插件已因为安全方面的原因被部分浏览器如Firefox屏蔽.Fox IT认为,攻击最早发生在去年12月30日,持续了数天,它估计恶意程序的感染率约为每小时2.7万.雅虎已发表声明,称非常重视用户的安全,在发现之后 立即移除了传播恶意程序的广告.攻击源头尚不清楚,Fox IT推测攻击者是出于金钱方面的动机

phpwind管理权限泄露漏洞利用程序发布_漏洞研究

漏洞发布:http://www.80sec.com/  漏洞作者:jianxin@80sec.com  漏洞厂商: http://www.phpwind.com/ 本漏洞影响phpwind所有版本  漏洞危害:高  漏洞说明:phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作  利用方式:http://www.80sec.com有提供exploit  漏洞分析:由于phpwind论坛在设计上对数据库存储机制不了解,导

谷歌为鼓励程序员发现漏洞提供奖励

由于对更高安全性的渴望和一些不太健康的动机的推动,寻找安全漏洞的市场越来越大.谷歌于周三表示,为了提高用户在线使用软件的安全性,谷歌将支付程序员500美元至3133.70美元的金额来更新软件,以使用户广泛使用的开源软件更不容易遭受攻击. 随着"Chrome奖励计划"( Chrome reward program)和"漏洞奖励计划"( vulnerability reward program)的开展,谷歌已经提供了两种方式来奖励那些能够找到其浏览器和在线服务漏洞的人士

PHP程序的常见漏洞攻击分析

综述:PHP程序也不是固若金汤,随着PHP的广泛运用,一些黑客们也在无时不想找PHP的麻烦,通过PHP程序漏洞进行攻击就是其中一种.在节,我们将从全局变量,远程文件,文件上载,库文件,Session文件,数据类型和容易出错的函数这几个方面分析了PHP的安全性. 如何通过全局变量进行攻击? PHP中的变量不需要事先声明,它们会在第一次使用时自动创建,它们的类型根据上下文环境自动确定.从程序员的角度来看,这无疑是一种极其方便的处理方法.一旦一个变量被创建了,就可以在程序中的任何地方使用.这个特点导致

PHP博客程序C-blog2.0漏洞测试大揭密(图)_漏洞研究

c-blog2.1测试手记 朋友买了空间支持php但是没有mysql数据库,说是这空间商主要是支持asp脚本的.哎 难道就不能玩php了吗?  嘿嘿 可以用php+access的php程序啊.百度了下发现了c-blog这个程序,它有个php+access版本的.down下了看看,就有了这次测试的结果. 1.暴出物理路径 在看了这个blog后,发现他写的到上没什么太大的bug,文件比较少而且简结. 它的说明上看到了如下: ./include   包含常用类库 编辑器 配置文件 -->/config

ASP程序密码验证漏洞解决方案

         网站建设初期,很多网站把密码放到数据库中,在登陆验证中用sql="select * from user where username='"&username&"'and pass='"& pass &'"查询用户名.密码,这种是很不安全的. 解决办法:构造特殊用户名和密码 方法一 构造以下的用户名: username='aa' or username<>'aa' pass='aa' or pas