转载

WordPress 和 Apache Struts 成为 2019 年漏洞最多的 Web 组件

一项分析发现，WordPress和ApacheStruts网络框架是2019年网络犯罪分子最关注的目标。

WordPress和Apache Struts漏洞是2019年网络和应用程序框架中网络犯罪分子最关注的漏洞-而输入验证漏洞超越了跨站点脚本（XSS），成为受攻击最多的漏洞类型。

RiskSense Spotlight 报告分析了2010年至2019年11月之间的1,622个漏洞。Web框架简化了应用程序和网站的开发和部署。Web框架可以为开发人员的许多常见任务提供现成的构建块，而不是要求开发人员用PHP，HTML等写出每一行代码。

RiskSense首席执行官Srinivas Mukkamala在一份媒体声明中提到：

即使使用应用程序最佳实践的方法进行开发，框架漏洞也可能使组织面临安全威胁。同时，升级框架可能会带来风险，因为升级的变化会影响应用程序的行为，外表或内在安全性。可能的结果是，框架漏洞替代了组织的受攻击面中最重要的，但知之甚少且经常被忽视的要素之一。

该公司发现，在这一年中，仅WordPress和Apache Struts的框架错误被攻击就占了总攻击的57％。它们各自的基础语言（WordPress使用PHP，Apache Struts使用Java）也是使用最多的语言。

而且，尽管WordPress在一年中发现了许多不同类型的错误，但根据分析，XSS是最常见的问题。同时，输入验证是Apache Struts框架面临的最大风险。

除了其在WordPress中的普遍性外，近几年XSS缺陷的数量在总体上有所下降：XSS是10年研究期内最常见的漏洞，但在最近五年进行分析时，它降至第五位。同时，输入验证在过去五年中占所有武器化漏洞的24％，主要影响Apache Struts，WordPress和Drupal。

分析还发现，尽管去年框架中网络安全漏洞的总数下降了，但这些漏洞的实际武器化率却上升了。该比率在2019年跃升至8.6％，是同期全国漏洞数据库平均值3.9％的两倍多。

总计有27.7％的WordPress漏洞被武器化。报告发现，Apache Struts的漏洞武器化率可以排到前三，也是所有武器化的漏洞框架中最高的那个，并且，38.6%的Apache Struts漏洞都被武器化了。

报告指出：“Laravel的武器化率更高，但这仅基于四个漏洞。”

SaltStack产品管理总监Mehul Revankar对Threatpost说：“毫无疑问，Apache Struts是目前武器化最严重的应用程序框架之一。这是许多现代Web应用程序的关键依赖项，尚不清楚应用程序是否在使用它。”

Apache Struts漏洞排在2017年臭名昭著的Equifax漏洞之后，Equifax漏洞影响了1.47亿人。

研究还发现，一些特定类型的错误有着更高的武器化率。例如，SQL注入，代码注入和各种命令注入受到网络攻击者的追捧，尽管很少见，但在研究中武器化率却超过一半。细分而言，按武器化率的高地排序，前三个漏洞是命令注入（武器化占60％），操作系统命令注入（武器化占50％）和代码注入（武器化占39％）。

此外，JavaScript和Python框架是漏洞被武器化最少的。例如，根据这项研究，去年基于JavaScript的Node.js的漏洞数量比其他JavaScript框架高得多，共有56个漏洞，但迄今为止只有一个被武器化。同样，Django也有66个漏洞，只有一个被武器化。

nVisium首席执行官Jack Mannino在对Threatpost的讲话中提到：

在过去的十年中，Web应用程序漏洞已成为越来越成熟的攻击媒介。众所周知，特别是WordPress和Apache Struts实施受到过时的插件和库版本的困扰。由于这些系统未打补丁且长时间未更新，因此暴露的可能性很高。针对这些技术的现成攻击已在攻击者工具中普遍存在，并将继续存在。

原文 http://4hou.win/wordpress/?p=41034

正文到此结束

所属分类： Java 编程技术

本文标签： kk wordpress https UI 组织 python ip sql HTML node 安全时间 Word 站点网站代码 http 2019 PHP 产品 Node.js src 部署 web 数据库管理开发十年 apache 漏洞操作系统 JavaScript java js 数据插件
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。