所有被武器化和利用的漏洞中约有 55% 是针对两个应用程序框架的,即 WordPress 和 Apache Struts。Drupal 内容管理系统排名第三,其次是 Ruby on Rails 和 Laravel。
作者/来源: 安华金和
根据风险分析公司 RiskSense 本周发布的一份报告显示,对 2010 年至 2019 年之间所有披露的漏洞进行分析研究发现,所有被武器化和利用的漏洞中约有 55% 是针对两个应用程序框架的,即 WordPress 和 Apache Struts。Drupal 内容管理系统排名第三,其次是 Ruby on Rails 和 Laravel。
就编程语言而言,PHP 和 Java 应用程序中的漏洞是过去十年中武器化多的。
密切关注 Node.JS 和 Django
少的是 JavaScript 和 Python 中的错误,但 RiskSense 预计,随着这两种语言现在已变得广泛和流行,并且其采用率已经激增,这种情况将在未来几年内改变。
更具体地说,用户和安全公司应密切注意 Node.js 和 Django,这两个分别是 JavaScript 和 Python 生态系统流行的应用程序框架。
RiskSense 表示:“ Node.js 的漏洞数量明显高于其他具有 56 个漏洞的 JavaScript 框架,尽管迄今为止只有一个已经武器化。同样,Django 具有 66 个漏洞,仅一个被武器化。”
RiskSense 表示:“虽然武器化程度仍然很低,但这些框架中的大量漏洞使它们容易遭受潜在风险的侵害。”他预计,黑客将把目光投向编程界的新星,并考虑将其中的旧 bug 武器化。试图破坏当今的 JavaScript 和 Python 应用程序。
与过去十年的编程趋势相一致,RiskSense 还指出,Perl 和 Ruby 这两种在世纪初很流行的编程语言,现在随着十年的结束,以及程序员转向 JavaScript 和 Python,武器化的开发越来越少。
注入漏洞受追捧
但是 RiskSense 的研究人员不仅查看了正在被武器化的应用程序错误。他们还研究了漏洞类型。
根据研究小组的说法,跨站点脚本(XSS)错误是 2010 年代披露的常见的安全错误,但它们并不是武器多的错误。
RiskSense 团队说:“与 SQL 注入、代码注入和各种命令注入相关的漏洞仍然很少见,但武器化率高,通常超过 50%。”
研究人员补充说:“实际上,按武器装备率排名前三的弱点是命令注入(武器装备占 60%),操作系统命令注入(武器装备占 50%)和代码注入(武器装备占 39%)。”
有兴趣了解过去十年漏洞武器化趋势的更多读者,可以在 RiskSense 的长达 22 页的报告中找到更多信息,该报告名为“Cracks in the Foundation: Web and Application Framework Vulnerabilities.”。
来源:ZDNet
更多资讯
以色列正使用手机位置数据来追踪新冠病毒疫情
外媒报道称,以色列总理内塔尼亚胡已授权该国安全机构 Shin Bet 使用手机位置数据,以帮助抗击新冠病毒引发的 COVID-19 疫情。《纽约时报》指出,该数据将用于追溯病毒检测呈阳性的个人的动向,以确定并隔离潜在的密切接触者。在接下来的 30 天时间里,该机构将有权调用运营商收集的相关数据。
Brave 投诉 Google 违反欧洲数据保护规定
Brave 浏览器正式投诉竞争对手 Google 违反了欧洲的数据保护条例 GDPR。Brave 认为 Google 滥权,通过它的不同服务收集用户数据并进行共享,违反了 GDPR 5(1)b 条款。
英首相鼓励人们在家办公 结果四大移动网络全部瘫痪
由于新冠病毒疫情导致数百万英国人在家办公,今日,英国所有的主要移动网络全部瘫痪。报道称,英国四大移动运营商 EE、沃达丰、O2 和 Three 今日全部遭遇网络瘫痪,导致数百万在家办公的英国人失去网络连接。
来源:新浪科技
Intel 处理器曝新漏洞:打补丁性能骤降 77%
幽灵、熔断漏洞曝光后,Intel、AMD处理器的安全漏洞似乎突然之间增加了很多,其实主要是相关研究更加深入,而新的漏洞在基本原理上也差不多。事实上,Intel、AMD、ARM、IBM等芯片巨头都非常欢迎和支持这类漏洞安全研究,有助于提升自家产品的安全性,甚至资助了不少研究项目,近日新曝光的LVI漏洞就是一个典型。
来源:快科技
(信息来源于网络,安华金和搜集整理)