查看原文
其他

Nginx 逆袭成功!Netcraft 10 月 Web 服务器排行榜公布;2017 Web 开发安全风险 TOP10

2017-10-31 OSC- 王练 开源中国

扫描二维码或点击图片进入西安源创会报名


Netcraft 10 月 Web 服务器排名,nginx 逆袭成功


Netcraft 发布了2017年10月 Web 服务器调查报告,排名前三的依然是 Microsoft、Apache 和 nginx 。



在面向 Web 的计算机市场(web-facing computers market)中,nginx 增长良好,上涨 0.33 点至22.56%,首次超越微软,占据第二位。微软自 2010 年以来在面向 web 的计算机市场份额一直在持续下降,nginx 有望在后续一段时间内保持新地位。



Apache 在活跃站点和面向 Web 的计算机市场继续领先市场,市场份额分别为 44.5% 和 42.3% 。而在版本使用方面,Apache 2.4.29 已于 10月23日 发布。在运行 Apache 的 3.41 亿个站点中,只有 12.6% 表示运行的是 2.4.x 版本。当然,真实比例可能会更高,因为几乎三分之二的 Apache 站点未公开版本号。



2017 Web 开发安全风险 TOP10,看看中枪了没?


Open Web Application Security Project (OWASP)每隔3-4年会公布一次 “Web 开发安全问题 TOP10 ” ,通过找出企业组织所面临的最严重的风险来提高人们对应用程序安全的关注度。


OWASP Top 10 被众多标准、书籍、工具和相关组织引用,包括 MITRE、PCI DSS、DISA、 FTC 等等。OWASP Top 10 最初于2003 年发布,并于 2004 年和 2007 年相继做了少许的修改更新。2010 版在流行程度的基础上,还对风险进行排序。这种模式也在 2013 版和最新的 2017 版得到了延续。


上一版 OWASP TOP10 发布于2013年,距今已有四年,全新的 OWASP Top10 将于今年发布。TOP10 2017 已于今年年中开始编制并发布 RC1 版,但因其中两条内容遭社区投票反对,重新开启征集,并在10月发布了其 RC2 版本。


目前在做最终的意见收集,若无意外,正式版会在11月18日发布。



正如图中所示,2017 的问题和 2013 变化并不大。如果往更早的 2007 榜单翻,你甚至会发现仍然有4个相同的问题出现在榜单之上。这似乎在说明,Web 开发者其实是在一次又一次犯同样的错误?新的工具,新的开发模式的出现,并没有完全改变这一状况。


甚至有一些人猜测和评论,犯同样错误的开发者并不是同一群开发者,而是因为 Web 开发本来就是 IT 行业软件开发中最低端,从业者普遍缺乏能力和知识,而安全是他们最后考虑的问题。


OWASP TOP10 2017 RC2 包含内容如下:


  • A1 - 注入缺陷

  • A2 - 失效的身份认证和会话管理

  • A3 - 敏感数据泄露

  • A4 - XML 外部实体注入(XXE)

  • A5 -  无效的访问控制(合并于 2013 年的 A4 “不安全的直接对象引用”和 A7 “功能级访问控制功能缺失”)

  • A6 - 安全配置错误

  • A7 - 跨站脚本(XSS)

  • A8 - 不安全的反序列化

  • A9 - 使用含有已知漏洞的组件

  • A10 - 记录和监控不足




推荐阅读

带来高收入的 10 大开源技术,可以涨工资了!

将 Spring Boot 应用程序迁移到 Java 9:兼容性

娱乐开发两不误,10 大开源游戏框架推荐

放弃 Python 转向 Go?有人给出了 9 大理由

区块链?人工智能?2018 年十大技术趋势

点击“阅读原文”查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存