您当前的位置:首页 > 电脑百科 > 程序开发 > 开源程序 > WordPress

2019年最吸引攻击炮火的 Web 框架:WordPress 和 Apache Struts

时间:2020-03-28 10:13:32  来源:  作者:

编译:奇安信代码卫士团队

概要

漏洞风险管理公司RiskSense 刚刚发布关于顶级Web 和应用框架漏洞的报告指出,2019年的框架漏洞总量下降但武器化率提高,其中wordPress/ target=_blank class=infotextkey>WordPress Apache Struts 拥有最多武器化漏洞,而输入验证超越跨站点脚本,成为框架中最常被武器化的弱点。

RiskSense 公司的首席执行官Srinivas Mukkamala 指出,“即便遵循了最佳应用开发实践,但框架漏洞可导致组织机构发生安全事件。同时,更新框架也会带来危险,因为更改可影响应用程序的行为、外观或内在安全。因此,框架漏洞是最重要的但尚未被完全理解以及常被忽视的企业攻击面的元素之一。”而这些漏洞如被利用,则可造成类似Equifax公司发生的导致1.47亿人员数据遭泄露的严重后果。

报告的数据收集自多种来源,包括RiskSense 专有数据、公开的威胁数据库以及RiskSense研究人员和渗透测试人员的研究成果。该报告研究了2010年至2019年11月期间的1662个漏洞。

报告要点

(1) WordPress Struts 成“众矢之的”

在过去十年中,单是这两种框架就占据57%的被武器化漏洞。WordPress 虽面临多种问题但XSS 漏洞是最常见问题,而输入验证是Apache Struts 框架的最大风险。它们各自相应的底层语言php 和JAVA 也是最常被武器化的语言。

(2) 2019年漏洞数量下降但武器化率提高

虽然和之前相比,2019年的框架漏洞总量下降,但武器化率升至8.5%,而NVD 在同一时期的平均武器化率为其一半不到(3.9%)。这种增长主要是因为Ruby on Rails、WordPress 和Java 中的武器化率增长导致的。

(3) 输入验证取代 XSS 成“弱点之王”

虽然XSS 问题是这10年间最常见的漏洞,但在过去5年中跌至第5位。这表明框架在这个重要领域已经取得进展。同时,输入验证成为最大的框架安全风险,占过去5年中所有被武器化漏洞的24%,主要影响Apache Struts、WordPress 和Drupal。

总体而言,27.7%的WordPress 漏洞被武器化;Apache Struts 被武器化的漏洞数量排第三,不过它的总体漏洞武器化率在所有框架中是最高的之一,共有38.6%的Struts 漏洞遭武器化。

SaltStack公司的产品管理负责人Mehul Revankar 表示,Apache Struts 是武器化率最高的应用框架之一是有道理的。它是当代很多web 应用的关键依赖关系,目前难以知晓某款应用是否使用该框架。

(4) 注入弱点被高度武器化

虽然和SQL 注入、代码注入和多种命令注入相关的漏洞仍然非常罕见,但其中一些漏洞的武器化率最高,常常超过50%。事实上,前三大武器化率最高的弱点是命令注入(60%)、OS命令注入(50%)和代码注入(39%)。这使得它们成为攻击者追逐的“座上客”。

(5) Java 和 Python 框架的武器化率最低

例如,2019年,基于Java 的Node.js 中的漏洞数量要大大低于其它Java 框架,共有56个漏洞但被武器化的只有1个。同样,Django 共有66个漏洞但被武器化的只有1个。

nVisium 公司的首席执行官Jack Mannino 表示,“十年来,web 应用漏洞已成为越来越成熟的攻击向量。WordPress 和Apache Struts 实现因过时的插件和库版本而备受诟病。由于在很长时间这些系统仍未被修复更新,因此它们被暴露的几率较高。这些科技的现成利用遍布攻击者工具集,而未来仍将如此。”

原文链接

https://risksense.com/press_release/risksense-spotlight-report-finds-wordpress-and-apache-are-most-weaponized-web-and-Application-frameworks/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士



Tags:WordPress   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
在最近的一波攻击中,黑客利用多个插件中未修补的漏洞攻击了 160 万个 WordPress 网站。 易受攻击的插件对 WordPress 网站产生了的巨大攻击数据。 Wordfence 最近发现 WordPr...【详细内容】
2021-12-16  Tags: WordPress  点击:(9)  评论:(0)  加入收藏
说起 WordPress 优化加速来可以说是个经久不衰的话题了,包括明月自己都撰写发表了不少相关的文章。基本上到现在为止明月的 WordPress 优化方案已经固定成型了,那就是 WP Supe...【详细内容】
2021-11-02  Tags: WordPress  点击:(49)  评论:(0)  加入收藏
很多人在做了网站的搬家和网站的从新更换空间域名搬家之后,往往出现网站打不开的情况,这个问题其实并不难,但是很多新手站长因为不知道,导致在处理这类问题上花费了大量的时间。...【详细内容】
2021-08-17  Tags: WordPress  点击:(147)  评论:(0)  加入收藏
当访问者访问您的网站时,您只有几秒钟的时间来显示这个人正在寻找的信息,否则,他们只需点击浏览器的后退按钮,开始浏览器别的同类型的网站了。缓慢的WordPress网站会给您的访问...【详细内容】
2020-08-20  Tags: WordPress  点击:(112)  评论:(0)  加入收藏
WordPress 5.5如期而至,更新优化的主要三个领域:速度,搜索和安全。主要内容速度方面主要体现图片的加载优化上面,新版本采用了懒加载模式,在滚动到对应的位置,才会加载真实的图片...【详细内容】
2020-08-17  Tags: WordPress  点击:(97)  评论:(0)  加入收藏
【ALENG 自媒体】8月11日早间自媒体专稿,话说从2008年涉足独立博客至今,掐指一算,走独立博客这一行已经10多年了。10多年间,我的独立博客网站先后使用过早期的Z-blog博客系统,后...【详细内容】
2020-08-12  Tags: WordPress  点击:(114)  评论:(0)  加入收藏
安装好nginx、php、mysql之后,需要经过配置,才能使用起LNMP的环境。...【详细内容】
2020-08-06  Tags: WordPress  点击:(101)  评论:(0)  加入收藏
一台云服务器能做什么?上次介绍了薅腾讯云和阿里云两家厂商羊毛的方法和过程,那到手的云主机要干什么用呢?或者说,云主机有什么用?过了这么多年,"上云"这个说法好像并没有过时。简...【详细内容】
2020-08-04  Tags: WordPress  点击:(106)  评论:(0)  加入收藏
一般的大型网站系统,都依赖伪静态。如果服务器的伪静态没有配置好,访问部分链接就会出现 404 的情况。在 WordPress 则具体表现为后台“固定链接”选项设置失效。 下面就提供...【详细内容】
2020-07-04  Tags: WordPress  点击:(134)  评论:(0)  加入收藏
在本地的 Mac 电脑上配置开发环境安装 homeBrew安装 PHP 7 和 Composer安装 Valet配置 Valet安装 MySQL安装 WordPress在 Windows 电脑上配置开发环境安装 PHPstudy安装 Wor...【详细内容】
2020-06-20  Tags: WordPress  点击:(138)  评论:(0)  加入收藏
▌简易百科推荐
说起 WordPress 优化加速来可以说是个经久不衰的话题了,包括明月自己都撰写发表了不少相关的文章。基本上到现在为止明月的 WordPress 优化方案已经固定成型了,那就是 WP Supe...【详细内容】
2021-11-02  明月登楼    Tags:WordPress   点击:(49)  评论:(0)  加入收藏
很多人在做了网站的搬家和网站的从新更换空间域名搬家之后,往往出现网站打不开的情况,这个问题其实并不难,但是很多新手站长因为不知道,导致在处理这类问题上花费了大量的时间。...【详细内容】
2021-08-17  企飞资源    Tags:WordPress   点击:(147)  评论:(0)  加入收藏
当访问者访问您的网站时,您只有几秒钟的时间来显示这个人正在寻找的信息,否则,他们只需点击浏览器的后退按钮,开始浏览器别的同类型的网站了。缓慢的WordPress网站会给您的访问...【详细内容】
2020-08-20      Tags:wordpress   点击:(112)  评论:(0)  加入收藏
WordPress 5.5如期而至,更新优化的主要三个领域:速度,搜索和安全。主要内容速度方面主要体现图片的加载优化上面,新版本采用了懒加载模式,在滚动到对应的位置,才会加载真实的图片...【详细内容】
2020-08-17      Tags:Wordpress5.5   点击:(97)  评论:(0)  加入收藏
【ALENG 自媒体】8月11日早间自媒体专稿,话说从2008年涉足独立博客至今,掐指一算,走独立博客这一行已经10多年了。10多年间,我的独立博客网站先后使用过早期的Z-blog博客系统,后...【详细内容】
2020-08-12      Tags:WordPress   点击:(114)  评论:(0)  加入收藏
安装好nginx、php、mysql之后,需要经过配置,才能使用起LNMP的环境。...【详细内容】
2020-08-06      Tags:WordPress   点击:(101)  评论:(0)  加入收藏
一台云服务器能做什么?上次介绍了薅腾讯云和阿里云两家厂商羊毛的方法和过程,那到手的云主机要干什么用呢?或者说,云主机有什么用?过了这么多年,"上云"这个说法好像并没有过时。简...【详细内容】
2020-08-04      Tags:WordPress   点击:(106)  评论:(0)  加入收藏
一般的大型网站系统,都依赖伪静态。如果服务器的伪静态没有配置好,访问部分链接就会出现 404 的情况。在 WordPress 则具体表现为后台“固定链接”选项设置失效。 下面就提供...【详细内容】
2020-07-04      Tags:WordPress   点击:(134)  评论:(0)  加入收藏
在本地的 Mac 电脑上配置开发环境安装 homeBrew安装 PHP 7 和 Composer安装 Valet配置 Valet安装 MySQL安装 WordPress在 Windows 电脑上配置开发环境安装 PHPstudy安装 Wor...【详细内容】
2020-06-20      Tags:WordPress   点击:(138)  评论:(0)  加入收藏
操作场景WordPress 是一款使用 PHP 语言开发的博客平台,您可使用通过 WordPress 搭建属于个人的博客平台。本文以 CentOS 7.6 操作系统的腾讯云云服务器为例,手动搭建 WordPre...【详细内容】
2020-04-27      Tags:WordPress   点击:(100)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条