每年,Acunetix都会为您提供最常见的Web安全漏洞和网络外围漏洞的分析。我们的年度Web应用程序漏洞报告(现已成为Invicti AppSec指标的一部分)是基于从Acunetix在线获得的真实数据。我们随机选择使用我们的软件扫描的网站和Web应用程序,将其匿名化,并进行统计分析。这是我们今年的网络安全调查结果。

Web应用程序安全性状态 不幸的是,《 2021年报告》非常悲观。过去几年的缓慢改善趋势已经逆转。与2020年相比,2021年的一些高中严重漏洞现在更为普遍,其中包括一些严重的安全风险,这些风险可能会导致敏感信息丢失。

我们认为这种趋势逆转是由COVID-19大流行引起的。这种流行病已导致大多数公司采用远程工作,因此许多安全领导者决定将重点放在端点安全,操作系统安全和反恶意软件方面,以对抗网络钓鱼,恶意站点和恶意代码的发作。因此,没有足够的资源可用于提高Web安全性。企业没有投资全面的流程,而是寻求快速且不完善的解决方案,这些解决方案通常基于错误配置的Web应用程序防火墙(WAF Acunetix)。

我们认为,此类决定将来可能会产生严重后果。转向远程的结果是,Web应用程序的重要性提高了。为了提高远程工作的效率,许多企业使用Web应用程序和API通过Web浏览器使其流程可用。这使攻击者可以尝试通过网页访问公司数据,从而可能导致重大数据泄露。

在Forrester Research Acunetix的最新研究《2021年应用程序安全性状况》中,诸如SQL注入,跨站点脚本或远程文件包含之类的Web应用程序是最常被引用的攻击方法。该研究调查了480位具有网络,数据中心,应用安全或安全运营职责的全球安全决策者,这些决策者在2020年遭受了外部攻击。

开发者危机Acunetix 随着向远程的转变,Web软件开发也面临着更多的问题,而不仅仅是缺乏资源。甚至在进行远程工作之前,开发人员经常发现很难编写安全代码,犯了常见的功能错误,跳过了验证,来自不受信任来源的受信任用户输入,将不受信任的数据直接传递给SQL查询,使用了不安全的用户会话ID和会话管理机制, 等等。

由于通讯方面的挑战,新的远程工作环境使开发人员更加难以维护应用程序代码的安全性。如果将安全重点从Web应用程序安全解决方案转移到其他地方,则开发人员也将缺乏工具和培训来提高其与安全相关的技能。如果他们可以使用专业的Web应用程序安全解决方案,则他们不仅会收到有关问题存在的信息,还将获得指导他们将来如何避免此类错误的指南。没有此类工具,开发人员将只会创建越来越多的漏洞。

漏洞一览 我们的报告重点介绍常见的漏洞和安全性错误配置-您还可以在“开放式Web应用程序安全性项目-OWASP十大”列表中找到这些漏洞和安全性错误配置。我们发现较少的SQL注入漏洞和目录遍历(路径遍历)问题,但许多其他严重问题则比上一年更普遍或更普遍。这包括远程代码执行(代码注入),跨站点脚本(XSS)问题,易受攻击的JavaScript库,WordPress漏洞,服务器端请求伪造(SSRF),主机头注入攻击等。

该报告还包含有关其他已知漏洞和软件安全问题的数据,包括缓冲区溢出,拒绝服务和DDoS漏洞,与访问控制和身份验证损坏有关的问题,例如弱密码,Web服务器配置错误等。对于所有这些问题,趋势是相似的:您可以看到数量略有增加。

当心后果 总之,《2021年Web应用程序漏洞报告》再次强调了Web漏洞扫描的重要性,尤其是在COVID-19和远程工作时代。诸如Acunetix之类的扫描程序发现的问题可能会造成严重后果,并导致服务器端敏感数据暴露,包括用户帐户泄露,信用卡信息盗窃,后端数据库的安全漏洞以及对受害者浏览器的客户端攻击。

最常见的安全漏洞– Acunetix Web应用程序漏洞报告2021的更多相关文章

  1. 常见Web应用程序漏洞

    不完善的身份验证措施 .这类漏洞包括应用程序登录机制中的各种缺陷,可能会使攻击者破解保密性不强的密码.发动蛮力攻击或完全避开登录. 不完善的访问控制措施.这一问题涉及的情况包括:应用程序无法为数据和功 ...

  2. 四十三:漏洞发现-WEB应用之漏洞探针类型利用修复

    已知CMS 如常见的dedecms,discuz,wordpress等源码结构,这种一般采用非框架开发,但是也有少部分采用框架类开发,针对此类源码程序的安全监测, 我们要利用公开的漏洞进行测试,如不存 ...

  3. web应用程序安全攻防---sql注入和xss跨站脚本攻击

    kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html 博文主要内容包括两种常见的web攻击 sql注入 XSS跨站脚本攻击 代 ...

  4. Web应用程序安全与风险

    一.Web应用程序安全与风险 更多渗透测试相关内容请关注此地址:https://blog.csdn.net/weixin_45380284 1.web发展历程 静态内容阶段(HTML) CGI程序阶段 ...

  5. 高级PHP应用程序漏洞审核技术

    前言 PHP是一种被广泛使用的脚本语言,尤其适合于web开发.具有跨平台,容易学习,功能强大等特点,据统计全世界有超过34%的网站有php的应 用,包括Yahoo.sina.163.sohu等大型门户 ...

  6. 转:OWASP发布Web应用程序的十大安全风险

    Open Web Application Security Project(OWASP)是世界范围内的非盈利组织,关注于提高软件的安全性.它们的使命是使应用软件更加安全,使企业和组织能够对应用安全风险 ...

  7. [原创]Burp Suite web应用程序渗透测试神器

    [原创]Burp Suite web应用程序渗透测试神器 一 Burp Suite介绍 Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描 ...

  8. 常见WEB开发安全漏洞 原因分析及解决

    目 录 1 会话标识未更新 3 1.1 原因 3 1.2 解决 3 2 SQL注入 3 2.1 原因 3 2.2 解决 5 3 XSS跨站脚本编制 5 3.1 原因 5 3.2 解决 5 4 XSRF ...

  9. Acunetix Web Vulnerability Scanner(WVS)(Acunetix网络漏洞扫描器)

    Acunetix网络漏洞扫描软件检测您网络的安全性安全测试工具Acunetix Web Vulnerability Scanner(WVS) (Acunetix网络漏洞扫描器)技术 网络应用安全扫描技 ...

随机推荐

  1. 10.1 ifconfig:配置或显示网络接口信息

    ifconfig命令 用于配置网卡IP地址等网络参数或显示当前网络的接口状态,其类似于Windows下的ipconfig命令,这两个命令很容易混淆,读者需要区分一下.此外,ifconfig命令在配置网 ...

  2. 『动善时』JMeter基础 — 30、JMeter中JSON断言详解

    目录 1.JSON断言组件界面详解 2.JSON断言组件的使用 (1)测试计划内包含的元件 (2)登陆接口请求界面内容 (3)JSON断言界面内容 (4)查看运行结果 (5)断言结果组件说明 3.JS ...

  3. Web应用漏洞-NGINX各类请求头缺失对应配置

    前言 随着越来越多的网络访问通过WEB界面进行操作,WEB安全已经成为互联网安全的一个热点,基于WEB的攻击广为流行,SQL注入.跨站脚本等WEB应用层漏洞的存在使得网站沦陷.页面篡改.网页挂马等攻击 ...

  4. uboot通过NFS挂载ubuntu根文件系统

    由于工作需要,在做app开发或系统移植时,经常需要编辑系统后重新烧写异常麻烦.通过NFS挂载根文件系统就不需要每次更改系统后再进行编译和烧写,等开发完成后一次烧写即可完成. 一.准备材料 可以根据自己 ...

  5. 原子层沉积(ALD)和化学气相沉积(CVD)微电子制造铜金属化的研究进展

    原子层沉积(ALD)和化学气相沉积(CVD)微电子制造铜金属化的研究进展 Atomic Layer Deposition (ALD) and Chemical Vapor Deposition (CV ...

  6. MindSpore:自动微分

    MindSpore:自动微分 作为一款「全场景 AI 框架」,MindSpore 是人工智能解决方案的重要组成部分,与 TensorFlow.PyTorch.PaddlePaddle 等流行深度学习框 ...

  7. eclipse左边的工程列表窗口不见了解决方案

    解决eclipse左边的工程列表窗口看不到工程目录的方法: Window->Show View->Project Explorer(如果没有Project Explorer选项,则Wind ...

  8. JUC 并发编程--01,线程,进程,经典卖票案例, juc的写法

    进程: 就是一个程序, 里面包含多个线程, 比如一个QQ程序 线程: 进程中最小的调度单元, 比如 QQ中的自动保存功能 并发: 多个线程操作同一资源, 抢夺一个cpu的执行片段, 快速交替 并行: ...

  9. 【Azure 应用服务】Azure Web App的服务(基于Windows 操作系统部署)在被安全漏洞扫描时发现了TCP timestamps漏洞

    问题背景 什么是TCP timestamps(TCP 时间戳)? The remote host implements TCP Timestamps, as defined by RFC1323 (h ...

  10. 已经安装好了tensorboardX,任然报错 No module named ‘tensorboardX‘ ??

    问题: 1.在jupyter notebook网页版中已经使用命令pip install tensorboardX来安装tensorboardX包,但是运行程序时仍旧出现错误:No module na ...