欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

卡巴斯基2017年企业信息系统的安全评估报告

来源:本站整理 作者:佚名 时间:2018-09-12 TAG: 我要投稿
根据2017年的分析,政府机构的Web应用是最脆弱的,在所有的Web应用中都发现了高风险的漏洞。在商业Web应用中,高风险漏洞的比例最低,为26%。“其它”类别仅包含一个Web应用,因此在计算经济成分分布的统计数据时没有考虑此类别。
Web应用的经济成分分布

Web应用的风险级别分布

对于每一个Web应用,其整体风险级别是基于检测到的漏洞的最大风险级别而设定的。电子商务行业中的Web应用最为安全:只有28%的Web应用被发现存在高风险的漏洞,而36%的Web应用最多存在中等风险的漏洞。
高风险Web应用的比例

如果我们查看每个Web应用的平均漏洞数量,那么经济成分的排名保持不变:政府机构的Web应用中的平均漏洞数量最高;金融行业其次,最后是电子商务行业。
每个Web应用的平均漏洞数

2017年,被发现次数最多的高风险漏洞是:
敏感数据暴露漏洞(根据OWASP分类标准),包括Web应用的源码暴露、配置文件暴露以及日志文件暴露等。
未经验证的重定向和转发(根据OWASP分类标准)。此类漏洞的风险级别通常为中等,并常被用于进行网络钓鱼攻击或分发恶意软件。2017年,卡巴斯基实验室专家遇到了该漏洞类型的一个更加危险的版本。这个漏洞存在于Java应用中,允许攻击者实施路径遍历攻击并读取服务器上的各种文件。尤其是,攻击者可以以明文形式访问有关用户及其密码的详细信息。

使用字典中的凭据(该漏洞在OWASP分类标准的身份验证破坏类别下)。该漏洞常在在线密码猜测攻击、离线密码猜测攻击(已知哈希值)以及对Web应用的源码进行分析的过程中发现。
在所有经济成分的Web应用中,都发现了敏感数据暴露漏洞(内部IP地址和数据库访问端口、密码、系统备份等)和使用字典中的凭据漏洞。
敏感数据暴露

未经验证的重定向和转发

使用字典中的凭据

漏洞分析
2017年,我们发现的高风险、中等风险和低风险漏洞的数量大致相同。但是,如果查看Web应用的整体风险级别,我们会发现超过一半(56%)的Web应用包含高风险漏洞。对于每一个Web应用,其整体风险级别是基于检测到的漏洞的最大风险级别而设定的。
超过一半的漏洞都是由Web应用源代码中的错误引起的。其中最常见的漏洞是跨站脚本漏洞(XSS)。44%的漏洞是由配置错误引起的。配置错误导致的最多的漏洞是敏感数据暴露漏洞。
对漏洞的分析表明,大多数漏洞都与Web应用的服务器端有关。其中,最常见的漏洞是敏感数据暴露、SQL注入和功能级访问控制缺失。28%的漏洞与客户端有关,其中一半以上是跨站脚本漏洞(XSS)。
漏洞风险级别的分布

Web应用风险级别的分布

不同类型漏洞的比例

服务器端和客户端漏洞的比例

漏洞总数统计
本节提供了漏洞的总体统计信息。应该注意的是,在某些Web应用中发现了相同类型的多个漏洞。
 10种最常见的漏洞类型

上一页  [1] [2] [3] [4] [5] [6] [7] [8]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载