卡巴斯基安全评估专家最近的一项研究发现了企业内部开发的Web应用程序中最危险和最普遍的漏洞。2021年至2023年期间,检查的应用程序中大多数都存在与访问控制和数据保护相关的漏洞,总计达到数十个。高风险级别漏洞中,最多的是SQL注入漏洞。
像社交网络、电子邮件和在线服务这样的Web应用程序基本上是用户通过浏览器与Web服务器进行交互的网站。在我们最新的研究中,卡巴斯基研究了IT、政府、保险、电信、加密货币、电子商务和医疗保健组织使用的Web应用程序中的漏洞,以确定可能发生在企业中的最常见攻击类型1。
主要的漏洞类型包括可能被恶意利用的访问控制缺陷和无法保护敏感数据。在 2021 年至 2023 年期间,本研究中 70% 的网络应用程序都存在这些类型的漏洞。
当攻击者试图绕过限制用户授权权限的网站策略时,可以使用访问控制漏洞。这可能导致未经授权的访问、数据的更改或删除等问题。第二种常见的漏洞类型涉及敏感信息的曝露,例如密码、信用卡详细信息、健康记录、个人数据和机密业务信息,突出了加强安全措施的必要性。
“以下的排名是通过考虑各公司内部开发的Web应用程序中最常见的漏洞及其风险级别来编制的。例如,一个漏洞可以使攻击者窃取用户身份验证数据,而另一个漏洞可以帮助在服务器上执行恶意代码,每个漏洞都会对业务连续性和弹性能力造成不同程度的影响。我们的排名反映了这种考虑,基于我们在进行安全分析项目方面的实际经验,”卡巴斯基安全评估团队安全专家Oxana Andreeva解释说。
Type of vulnerability
漏洞类型
The share of web applications that contain it
包含此漏洞的web应用比例
Share of high-risk vulnerabilities
高风险漏洞比例
Share of medium-risk vulnerabilities
中级风险漏洞比例
Share of low-risk vulnerabilities
低风险漏洞比例
Broken Access Control
访问控制失效
70%
37%
49%
14%
Sensitive Data Exposure
敏感数据暴露
70%
9%
28%
63%
Server-Side Request Forgery (SSRF)
服务器端请求伪造 (SSRF)
57%
15%
66%
19%
SQL Injection
SQL注入
43%
88%
12%
-
Cross Site Scripting (XSS)
跨站脚本 (XSS)
61%
11%
78%
11%
Broken Authentication
验证失效
52%
21%
47%
32%
Security Misconfiguration
安全配置错误
43%
15%
41%
44%
Insufficient Protection from Brute Force Attacks
对暴力攻击的防护不足
39%
11%
39%
50%
Weak User Password
弱用户密码
22%
78%
22%
-
Using Components with Known Vulnerabilities
使用存在已知漏洞的组件
13%
43%
43%
14%
卡巴斯基专家还研究了上述各类漏洞的危险程度。构成高风险的漏洞中,与 SQL 注入相关的漏洞所占比例最大。特别是,在所有分析过的 SQL 注入漏洞中,有 88% 被认为是高危漏洞。
另一个重要的高风险漏洞类别与弱密码有关。在这个类别中,分析的所有漏洞中有78%被归类为高风险。
值得注意的是,卡巴斯基安全评估团队研究的所有Web应用程序中,只有22%存在弱密码。可能的原因之一是研究样本中的应用程序可能是测试版本,而不是实际的在线系统。
为了深入了解该研究,请访问Securelist网站。研究中概述的漏洞类别与OWASP十大漏洞分类及子分类相一致。研究中描述的最常见的Web应用程序漏洞的修复将有助于企业保护机密数据,并避免损害Web应用程序和相关系统。为了提高Web应用程序的安全性并及时检测可能的攻击,卡巴斯基安全评估团队建议:
使用安全软件开发生命周期 (SSDLC);
定期进行应用程序安全评估;
使用日志记录和监控机制来跟踪应用程序的运行情况
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球220,000家企业客户保护最重要的东西。