Web应用程序是否高度攻击?

根据一个Web应用程序安全公司,公共和私营部门使用的99%的测试Web应用程序易受攻击。

基于2012年由加利福尼亚州的Web App安全公司的研究基于2012年,公共和私营部门使用的99%的测试Web应用程序易受攻击。 

Centic是一家基于加利福尼亚州的Web应用程序安全公司,在其上发布了这些调查结果 2013年2月报告,这也详细介绍了为什么这些漏洞不会越来越好。

技术可用于帮助开发人员在开发和生产过程中测试他们的软件,因此创作者了解缺陷,然后将这些产品释放到公共和私营部门客户之前,但 预算限制通常会阻止它们完成这些评估。

“最终我听到了很多组织的故事,说他们甚至不希望我们扫描他们的应用程序,因为他们没有预算来解决他们的发现,”康默的首席技术官斯科特包裹说一个工具。

该公司据该公司称,这种令人震惊的趋势持续了一段时间,该公司还在发现,2011年测试的99%的Web应用程序有漏洞,尽管在每个申请中找到的漏洞数量有一个显着差异:2012年发现的13个脆弱性,从2011年的18岁开始。

Centic Touts这些调查结果作为信息安全和应用程序开发人员的警告,即黑客可以轻松利用建造的内容。

检测到的漏洞包括以下内容:

2013-漏洞 - 摘要-290x250.png


  • 跨站点脚本(XS) - 26%
  • 信息泄露和会话管理 - 均为16%
  • 身份验证和授权 - 13%
  • 跨站点请求伪造 - 8%
  • SQL注射 - 6%
  • Web服务器版本 - 5%
  • 远程代码执行 - 5%
  • Web服务器配置 - 3%,和
  • 未经授权的目录访问 - 2%。
该报告没有透露测试的Web应用程序数量,并且盲肠发言人不会透露为安全和专有原因测试的应用程序数量 - 但发言人表示,这是在成千上万的情况下。该报告还指出了Centic的 管理安全团队在分析生产中的应用过程中收集了数据。

包裹说,他认为公共部门可以在修复一些问题方面发挥作用,但他是否不确定政府是否会采取行动。

“政府周围的政府努力[是]试图投资于改善全国的东西,而不仅仅是政府,”包裹说,虽然他没有命名政府已经采取或企图的任何具体行动。 “而且,我看到,令人讨厌地误导,真的不是解决问题。他们一直在制作各种大胆的公告,然后在Web应用程序安全领域做出多大。“

丹lohrmann, 密歇根州公司的首席安全官以及网络安全总监和基础设施保护,主要同意这些评论。

“CENTIC的CTO可能是正确的,但在大多数政府的许多其他方面也可以说类似的事情,”Lohrmann通过电子邮件说。 “我确实同意Web应用程序安全滞后于其他安全区域。”

但根据Lohrmann的说法,公共部门一般来说,当涉及到网络安全时,他会引用一个劣势 2012年研究 德勤和纳西奥支持这一点。

“随着Nascio-Deloitte的研究表明,国家和地方政府努力获得资源和买入,做一个长期的”优先事项“列表,”他说。“我不相信这是对Web应用程序安全性独特的。 “