每年,Acunetix都会为您提供最常见的Web安全漏洞和网络外围漏洞的分析。我们的年度Web应用程序漏洞报告(现已成为Invicti AppSec指标的一部分)是基于从Acunetix在线获得的真实数据。我们随机选择使用我们的软件扫描的网站和Web应用程序,将其匿名化,并进行统计分析。这是我们今年的网络安全调查结果。

Web应用程序安全性状态 不幸的是,《 2021年报告》非常悲观。过去几年的缓慢改善趋势已经逆转。与2020年相比,2021年的一些高中严重漏洞现在更为普遍,其中包括一些严重的安全风险,这些风险可能会导致敏感信息丢失。

我们认为这种趋势逆转是由COVID-19大流行引起的。这种流行病已导致大多数公司采用远程工作,因此许多安全领导者决定将重点放在端点安全,操作系统安全和反恶意软件方面,以对抗网络钓鱼,恶意站点和恶意代码的发作。因此,没有足够的资源可用于提高Web安全性。企业没有投资全面的流程,而是寻求快速且不完善的解决方案,这些解决方案通常基于错误配置的Web应用程序防火墙(WAF Acunetix)。

我们认为,此类决定将来可能会产生严重后果。转向远程的结果是,Web应用程序的重要性提高了。为了提高远程工作的效率,许多企业使用Web应用程序和API通过Web浏览器使其流程可用。这使攻击者可以尝试通过网页访问公司数据,从而可能导致重大数据泄露。

在Forrester Research Acunetix的最新研究《2021年应用程序安全性状况》中,诸如SQL注入,跨站点脚本或远程文件包含之类的Web应用程序是最常被引用的攻击方法。该研究调查了480位具有网络,数据中心,应用安全或安全运营职责的全球安全决策者,这些决策者在2020年遭受了外部攻击。

开发者危机Acunetix 随着向远程的转变,Web软件开发也面临着更多的问题,而不仅仅是缺乏资源。甚至在进行远程工作之前,开发人员经常发现很难编写安全代码,犯了常见的功能错误,跳过了验证,来自不受信任来源的受信任用户输入,将不受信任的数据直接传递给SQL查询,使用了不安全的用户会话ID和会话管理机制, 等等。

由于通讯方面的挑战,新的远程工作环境使开发人员更加难以维护应用程序代码的安全性。如果将安全重点从Web应用程序安全解决方案转移到其他地方,则开发人员也将缺乏工具和培训来提高其与安全相关的技能。如果他们可以使用专业的Web应用程序安全解决方案,则他们不仅会收到有关问题存在的信息,还将获得指导他们将来如何避免此类错误的指南。没有此类工具,开发人员将只会创建越来越多的漏洞。

漏洞一览 我们的报告重点介绍常见的漏洞和安全性错误配置-您还可以在“开放式Web应用程序安全性项目-OWASP十大”列表中找到这些漏洞和安全性错误配置。我们发现较少的SQL注入漏洞和目录遍历(路径遍历)问题,但许多其他严重问题则比上一年更普遍或更普遍。这包括远程代码执行(代码注入),跨站点脚本(XSS)问题,易受攻击的JavaScript库,WordPress漏洞,服务器端请求伪造(SSRF),主机头注入攻击等。

该报告还包含有关其他已知漏洞和软件安全问题的数据,包括缓冲区溢出,拒绝服务和DDoS漏洞,与访问控制和身份验证损坏有关的问题,例如弱密码,Web服务器配置错误等。对于所有这些问题,趋势是相似的:您可以看到数量略有增加。

当心后果 总之,《2021年Web应用程序漏洞报告》再次强调了Web漏洞扫描的重要性,尤其是在COVID-19和远程工作时代。诸如Acunetix之类的扫描程序发现的问题可能会造成严重后果,并导致服务器端敏感数据暴露,包括用户帐户泄露,信用卡信息盗窃,后端数据库的安全漏洞以及对受害者浏览器的客户端攻击。

最常见的安全漏洞– Acunetix Web应用程序漏洞报告2021的更多相关文章

  1. 常见Web应用程序漏洞

    不完善的身份验证措施 .这类漏洞包括应用程序登录机制中的各种缺陷,可能会使攻击者破解保密性不强的密码.发动蛮力攻击或完全避开登录. 不完善的访问控制措施.这一问题涉及的情况包括:应用程序无法为数据和功 ...

  2. 四十三:漏洞发现-WEB应用之漏洞探针类型利用修复

    已知CMS 如常见的dedecms,discuz,wordpress等源码结构,这种一般采用非框架开发,但是也有少部分采用框架类开发,针对此类源码程序的安全监测, 我们要利用公开的漏洞进行测试,如不存 ...

  3. web应用程序安全攻防---sql注入和xss跨站脚本攻击

    kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html 博文主要内容包括两种常见的web攻击 sql注入 XSS跨站脚本攻击 代 ...

  4. Web应用程序安全与风险

    一.Web应用程序安全与风险 更多渗透测试相关内容请关注此地址:https://blog.csdn.net/weixin_45380284 1.web发展历程 静态内容阶段(HTML) CGI程序阶段 ...

  5. 高级PHP应用程序漏洞审核技术

    前言 PHP是一种被广泛使用的脚本语言,尤其适合于web开发.具有跨平台,容易学习,功能强大等特点,据统计全世界有超过34%的网站有php的应 用,包括Yahoo.sina.163.sohu等大型门户 ...

  6. 转:OWASP发布Web应用程序的十大安全风险

    Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件的安全性.它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险 ...

  7. [原创]Burp Suite web应用程序渗透测试神器

    [原创]Burp Suite web应用程序渗透测试神器 一 Burp Suite介绍 Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描 ...

  8. 常见WEB开发安全漏洞 原因分析及解决

    目 录 1 会话标识未更新 3 1.1 原因 3 1.2 解决 3 2 SQL注入 3 2.1 原因 3 2.2 解决 5 3 XSS跨站脚本编制 5 3.1 原因 5 3.2 解决 5 4 XSRF ...

  9. Acunetix Web Vulnerability Scanner(WVS)(Acunetix网络漏洞扫描器)

    Acunetix网络漏洞扫描软件检测您网络的安全性安全测试工具Acunetix Web Vulnerability Scanner(WVS) (Acunetix网络漏洞扫描器)技术 网络应用安全扫描技 ...

随机推荐

  1. CentOS 下解决ssh登录 locale 警告

    最近登录一台CentOS 6机器,发现每次登录都提示如下警告: -bash: warning: setlocale: LC_CTYPE: cannot change locale (en_US.UTF ...

  2. python工业互联网应用实战16-前后端分离模式之修改与删除

    前一章节介绍了List页面的JQuery技术栈的迁移,这一章节我们花一些篇幅来说说修改/查看页面的技术栈迁移.相对于List的获取数据,修改页面涉及到数据Post提交到后台更新数据库.我们仍旧小步迭代 ...

  3. Java反射机制 之 获取类的 方法 和 属性(包括构造函数)(Day_06)

    把自己立成帆,才能招来凤. 运行环境 JDK8 + IntelliJ IDEA 2018.3  本文中使用的jar包链接 https://files.cnblogs.com/files/papercy ...

  4. PDF 文件编写器 C# 类库(版本 1.28.0)使用详解

    PDF File Writer 是一个 C# .NET 类库,允许应用程序创建 PDF 文件. PDF File Writer C# 类库使 .NET 应用程序能够生成 PDF 文档.该库使应用程序免 ...

  5. 通过git将项目传到github上

    lenovo@LAPTOP-3KMEN0B2 MINGW64 /e/Users/lenovo/springboot-project/forum $ ls forum.iml HELP.md mvnw* ...

  6. OpenResty 最佳实践

    OpenResty 最佳实践 https://moonbingbing.gitbooks.io/openresty-best-practices/content/index.html

  7. Apollo 自动驾驶开发套件(D-KIT)

    Apollo 自动驾驶开发套件(D-KIT)

  8. CUDA 9中张量核(Tensor Cores)编程

    CUDA 9中张量核(Tensor Cores)编程 Programming Tensor Cores in CUDA 9 一.概述 新的Volta GPU架构的一个重要特点是它的Tensor核,使T ...

  9. 图分析Rapids cuGraph

    图分析Rapids cuGraph 英伟达(Nvidia)建立的新的开源库可能是推进分析和使图形数据库更快的秘密要素. 在Nvidia GPU上进行并行处理. Nvidia很久以前就不再只是" ...

  10. Linux 2 的 Windows 子系统上发布 CUDA

    Linux 2 的 Windows 子系统上发布 CUDA 为响应大众需求,微软 宣布 在 2020 年 5 月的 建造 大会上推出了 建造 ( WSL 2 ) – GPU 加速功能.这一特性为许多计 ...