最常见的安全漏洞– Acunetix Web应用程序漏洞报告2021

每年，Acunetix都会为您提供最常见的Web安全漏洞和网络外围漏洞的分析。我们的年度Web应用程序漏洞报告（现已成为Invicti AppSec指标的一部分）是基于从Acunetix在线获得的真实数据。我们随机选择使用我们的软件扫描的网站和Web应用程序，将其匿名化，并进行统计分析。这是我们今年的网络安全调查结果。

Web应用程序安全性状态 不幸的是，《 2021年报告》非常悲观。过去几年的缓慢改善趋势已经逆转。与2020年相比，2021年的一些高中严重漏洞现在更为普遍，其中包括一些严重的安全风险，这些风险可能会导致敏感信息丢失。

我们认为这种趋势逆转是由COVID-19大流行引起的。这种流行病已导致大多数公司采用远程工作，因此许多安全领导者决定将重点放在端点安全，操作系统安全和反恶意软件方面，以对抗网络钓鱼，恶意站点和恶意代码的发作。因此，没有足够的资源可用于提高Web安全性。企业没有投资全面的流程，而是寻求快速且不完善的解决方案，这些解决方案通常基于错误配置的Web应用程序防火墙（WAF Acunetix）。

我们认为，此类决定将来可能会产生严重后果。转向远程的结果是，Web应用程序的重要性提高了。为了提高远程工作的效率，许多企业使用Web应用程序和API通过Web浏览器使其流程可用。这使攻击者可以尝试通过网页访问公司数据，从而可能导致重大数据泄露。

在Forrester Research Acunetix的最新研究《2021年应用程序安全性状况》中，诸如SQL注入，跨站点脚本或远程文件包含之类的Web应用程序是最常被引用的攻击方法。该研究调查了480位具有网络，数据中心，应用安全或安全运营职责的全球安全决策者，这些决策者在2020年遭受了外部攻击。

开发者危机Acunetix 随着向远程的转变，Web软件开发也面临着更多的问题，而不仅仅是缺乏资源。甚至在进行远程工作之前，开发人员经常发现很难编写安全代码，犯了常见的功能错误，跳过了验证，来自不受信任来源的受信任用户输入，将不受信任的数据直接传递给SQL查询，使用了不安全的用户会话ID和会话管理机制， 等等。

由于通讯方面的挑战，新的远程工作环境使开发人员更加难以维护应用程序代码的安全性。如果将安全重点从Web应用程序安全解决方案转移到其他地方，则开发人员也将缺乏工具和培训来提高其与安全相关的技能。如果他们可以使用专业的Web应用程序安全解决方案，则他们不仅会收到有关问题存在的信息，还将获得指导他们将来如何避免此类错误的指南。没有此类工具，开发人员将只会创建越来越多的漏洞。

漏洞一览 我们的报告重点介绍常见的漏洞和安全性错误配置-您还可以在“开放式Web应用程序安全性项目-OWASP十大”列表中找到这些漏洞和安全性错误配置。我们发现较少的SQL注入漏洞和目录遍历（路径遍历）问题，但许多其他严重问题则比上一年更普遍或更普遍。这包括远程代码执行（代码注入），跨站点脚本（XSS）问题，易受攻击的JavaScript库，WordPress漏洞，服务器端请求伪造（SSRF），主机头注入攻击等。

该报告还包含有关其他已知漏洞和软件安全问题的数据，包括缓冲区溢出，拒绝服务和DDoS漏洞，与访问控制和身份验证损坏有关的问题，例如弱密码，Web服务器配置错误等。对于所有这些问题，趋势是相似的：您可以看到数量略有增加。

当心后果 总之，《2021年Web应用程序漏洞报告》再次强调了Web漏洞扫描的重要性，尤其是在COVID-19和远程工作时代。诸如Acunetix之类的扫描程序发现的问题可能会造成严重后果，并导致服务器端敏感数据暴露，包括用户帐户泄露，信用卡信息盗窃，后端数据库的安全漏洞以及对受害者浏览器的客户端攻击。