网络安全 频道

保护应用程序安全成企业迫在眉睫问题

  【IT168 编译】SQL注入漏洞是在目前的攻击中最常被滥用的漏洞,也是最容易修复的漏洞。根据Veracode最新软件安全状况报告显示,三分之一的应用程序中仍然存在SQL注入漏洞,并且这个数量趋于稳定,这反映了保护软件安全仍然有漫长而艰难的道路要走。

  Veracode发现,此前SQL注入漏洞数量下降的趋势现在已经基本处于停顿状态,32%的Web应用程序仍然存在SQL注入漏洞。Veracode公司研究副总裁Chris Eng表示:“之前的报告显示SQL注入漏洞呈现出下降的趋势,但是幅度不大,每个季度下降1%左右,而现在已经趋于稳定。”这种平稳的趋势也可能是因为出现了以前没有被Veracode检查过的新应用程序。

  Eng表示:“SQL注入漏洞的情况可能已经变得有点糟糕,但如果你从新应用程序的角度来看,并不是这样。安全行业并没有突然停止关注这些漏洞或者修复它们。”

  Veracode在其报告中还作出预测:今年大约有30%的泄露事故将利用SQL注入,并且,由于现在攻击技术信息很容易获得,这将导致出现更多“日常黑客”。例如,谷歌搜索“SQL注入攻击”将会返回174万个搜索结果,包含视频和攻击指导信息。

  Veracode还发现,在应用程序首次提交到Veracode的扫描服务时,70%的企业应用程序未能遵守该公司的安全政策。随后这个数字并没有太大改变。

  另外,根据Cenzic类似的报告显示,其去年测试的应用程序中,99%的应用程序包含一个或多个严重漏洞。在2012年,每个应用程序中漏洞数量的中位数是13,而2011年为16。该报告称:“但也有好消息,很多这些漏洞比较容易被应用程序安全团队检测、阻止和修复。”该报告还发现,跨站脚本是最常见的漏洞(26%的应用程序),其次是信息泄露(16%)和会话管理(16%),以及身份验证和授权(13%)。Cenzic发现6%的程序中包含SQL注入漏洞。

  其他应用程序安全公司也看到了一些好转的迹象。WhiteHat Security创始人兼首席技术官Jeremiah Grossman表示,其公司在过去两三年中发现SQL注入漏洞在下降,在2011年只有12%的网站包含这种漏洞,而2012年仅为7%。

  WhiteHat和Veracode的调查结果之间的差异可能是因为他们扫描的应用程序类型的不同,前者检查的是主网站,而后者是检查Web应用程序。即便如此,攻击者需要的只是一个可利用的漏洞。Grossman称,“只需要一个SQL注入漏洞,攻击者的目标通常不是主网站,而是次级网站。但总的来说,情况正在改善,虽然速度不快。”Grossman表示,庞大的软件漏洞问题也解释了相对缓慢的清理过程。

  根据Veracode报告显示,在第一次和第二次扫描之间,对于SQL注入漏洞,基于Java的应用程序得到了16%的改善,二队跨站脚本漏洞得到了14%的改善,.NET也相当不错,分别为25%和15%。Eng表示:“这表明,针对某些类型的漏洞,也许某些语言提供更好的内置保护,例如,.NET有更多针对跨站脚本的内置保护。”

  Veracode和Cenzic的报告都发现移动应用程序安全情况很糟糕,一个很大的问题在于这些应用程序对加密密钥的处理。约64%的Android和58%的iOS应用程序存在加密机制问题,例如加密密钥和密码被硬编码到应用程序。另外,移动应用程序在必要时没有使用SSL。

  Cenzic的托管服务小组发现移动应用程序存在的主要安全问题包括输入验证(21%)、会话管理(11%)和侵犯隐私(25%)。

0
相关文章