开源 Web 应用最常见漏洞是 XSS 和 SQLI 漏洞

Web应用程序安全公司Netsparker使用他们的自动化安全扫描工具,对396 个Web应用程序进行了扫描,发现了269个安全漏洞,其中最多的漏洞是跨站点脚本(XSS)和SQL注入(SQLI)漏洞,占到全部漏洞数量的87%,其中甚至还有多个零日漏洞。

对每个漏洞类别细分,研究人员发现了180个 XSS漏洞,如反射XSS,存储XSS等等,占到全部漏洞的67%, XSS漏洞占扫描发现所有安全漏洞的67%;其次是SQL注入漏洞,数量有55个,占到全部漏洞数量20%。第三名是远程和本地文件包含漏洞,数量有16 个,包括跨站请求伪造(CSRF),远程命令执行(RCE)命令注入,打开重定向,HTTP头注入和框架注入等漏洞。

这次扫描还统计了开源应用程序使用的编程语言种类,其中大多数使用PHP编程,有326个,其次使用ASP / ASP.NET进行编程,有31个。其他39应用程序使用超过10种不同技术组合构建。软件开发环境如此多样化,也是导致大量安全漏洞的原因之一。




====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-10-24 20:15:51

开源 Web 应用最常见漏洞是 XSS 和 SQLI 漏洞的相关文章

解析web文件操作常见安全漏洞(目录、文件名检测漏洞

做web开发,我们经常会做代码走查,很多时候,我们都会抽查一些核心功能,或者常会出现漏洞的逻辑.随着技术团队的壮大,组员技术日益成熟. 常见傻瓜型SQL注入漏洞.以及XSS漏洞.会越来越少,但是我们也会发现一些新兴的隐蔽性漏洞偶尔会出现.这些漏洞更多来自开发人员,对一个函数.常见 模块功能设计不足,遗留下的问题.以前我们能够完成一些功能模块,现在要求是要安全正确方法完成模块才行. 接下来,我会分享一些常见功能模块,由于设计原因导致漏洞出现.下面,我们先看下,读取文件型功能漏洞. 我们先看下下面一

浅谈开源web程序后台的安全性

一.前言 不知怎的最近甚是思念校园生活,思念食堂的炒饭.那时会去各种安全bbs上刷刷帖子,喜欢看别人写的一些关于安全技巧或经验的总结;那时BBS上很多文章标题都是:成功渗透XXX,成功拿下XXX.这里便以一篇入侵菲律宾某大学的文章引出文章的主题,我们先简要看一下过程.大学网站使用了名为joomla的开源web程序,(1)青年使用一个joomla已经公开的漏洞进入web后台(2)青年使用joomla后台上传限制不严的缺陷上传了一个webshell(3)控制主机赠送我国国旗. 原来入侵一台主机如此容

xss跨站漏洞简介

xss攻击就是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的. 一般而言,利用跨站脚本攻击,攻击者可窃会话COOKIE从而窃取网站用户的隐私,包括密码. XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等.XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害.

[Web安全之实战] 跨站脚本攻击XSS

一.认识XSS先   先说个故事吧,在上一篇,我还想说这个案例.其实什么叫攻击,很简单.获取攻击者想要的信息,就黑成功了.抓到一个Tomcat漏洞(这不是我说的,一个 认识的人说的),上传一个JSP,里面模拟HttpClient,下载一个木马,运行.OK,搞定了.所以,没有绝对的安全.   今天,泥瓦匠带你们认识下XSS,然后关于怎么防御的问题.至于防御的话,仁者见仁智者见智.尔等啥都不配不上的就绰见,望各位阅读者相互讨论.泥瓦匠目前是搞JAVA的,所以例子上JAVA比较多.   Q: 什么是X

黑客可利用e-Bay的一个站点漏洞(XSS)来偷取用户

近日,在e-Bay网站出现的一个严重的漏洞,该漏洞为恶意黑客分子通过创建假的登录界面的方式来盗取用户密码和电子票据等资料提供了可乘之机. 12月初,一位独立安全研究员发现了该漏洞,并在12月11号将该情况向e-Bay网站做了汇报.在得到了首次答复之后,第二天该研究员想继续跟进,获得更多关于该漏洞的最新情况时,e-Bay却不再对研究员的电子邮件进行回复.直到上周,Motherboard联系eBay询问情况时,他们都还没对该漏洞进行修复. "任何人都可以利用该漏洞入侵e-Bay网的个人用户,从而可以

浅谈跨站式攻击(XSS)实战与漏洞修补

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 发这篇文章还是想说明一下,黑客在我个人认为是一个褒义词,而不是大家所认为的那些偷鸡摸狗之小人. 现在做一个网站,也非常简单,买一个域名,一个空间,在网上下载一套CMS,一个站就成立,而很多这样的站长朋友,其实对网站脚本方面是不懂的,所以当网站被黑,很少有人直接去源码找原因. 今天的实战案例就以"网域高科行业B2B商务平台"

采用开源Web应用:先破除“盲目”和“偏见”

就在不久前,开源Web软件还只是企业的优势领域;而现在,几乎所有网络领域都有大量基于开源的Web系统在运行.从网络基础设施设备到存储系统再到云端企业应用,可以说,开源Web应用的足迹遍布所有企业. 尽管开源Web应用在企业的普及率非常广,但令人惊讶的是,并没有多少人在寻找漏洞以及保持开源系统的更新.对于开源人们带有偏见的成分,并不像对某些操作系统的支持,例如Novell NetWare和Mac OS X.开源宣言是:开源就是开源,因此,它很"安全".这里的设定是,鉴于开源代码广泛可用,

五大开源 Web 代理服务器横评:Squid、Privoxy、Varnish、Polipo、Tinyproxy

本文导航 -Squid09% -Privoxy31% -Varnish Cache48% -Polipo68% -Tinyproxy81% Web 代理软件转发 HTTP 请求时并不会改变数据流量.它们可以配置成透明代理,而无需客户端配置.它们还可以作为反向代理放在网站的前端:这样缓存服务器可以为一台或多台 web 服务器提供无限量的用户服务. 网站代理功能多样,有着宽泛的用途:从缓存页面.DNS 和其他查询,到加速 web 服务器响应.降低带宽消耗.代理软件广泛用于大型高访问量的网站,比如纽约

游戏安全资讯精选 2017年 第四期:游戏行业上周最大DDoS流量超770G, 魔兽世界遭遇DDoS攻击,开源CMS Drupal 8发布更新修复多处高危漏洞补丁

  [每周行业DDoS攻击态势]     [游戏安全动态]  魔兽世界遭遇DDoS攻击.点击查看原文   概要:此次 DDoS 攻击实际是从周日的早上开始发生,暴雪发现问题后第一时间在 Twitter 上发出通知,"我们正在对于身份验证服务缓慢的原因进行调查."目前还没有个人或组织对此次 DDoS 事件负责,暴雪目前也还未公开更多攻击细节.(引用自Freebuf) 点评:阿里云安全团队也跟踪发现,暴雪被DDoS的时长近三小时.攻击最开始,登录服出现问题,接着是支付出现问题,并在1小时后