开源网络应用程序中最常见的漏洞

网络应用程序安全企业Netsparker扫描了396款网络应用程序，并从中发现了269个安全漏洞，其中最为常见的要数跨站点脚本漏洞（XSS）和SQL注入（SQLi）漏洞。

在269个安全漏洞中有多个0day漏洞，Netsparker已发布了114份安全公告。

XSS和SQLi占比87%

在这些漏洞中，其中有180个XSS漏洞如反射型XSS、存储型XSS、基于DOM的XSS和通过RFI（远程文件包含）的XSS漏洞。其中XSS漏洞占所有发现总数的67%。排名第二的是SQL漏洞，占所有总数的20%（55个）。占据第三位的是远程和本地文件包含漏洞，总数为16个；其余为数不多的漏洞包括跨站点请求漏洞、远程命令执行漏洞、命令注入漏洞、HTTP头信息注入和框架注入漏洞等。

从开源app所使用的编程语言来看，多数app使用的是PHP语言（326）其次是ASP/ASP.NET（31）。其它39款app是用10多种不同技术的组合来搭建的。这种软件开发的多样性可能在安全漏洞方面也起着作用，因为开发人员必须能够通过多种语言和技术安全编写应用程序。

而说到用来存储数据的数据库，安全研究人员认为MySQL最为流行，在337款app中使用，其次是MSSQL（29）和SQLite（5）。不过让人吃惊的是，NoSQL数据库并没有想象的那样流行。

这项研究是对2014年研究的继续。当时研究人员扫描了235款app发现127款易受攻击并且从中发现了181个漏洞。当时XSS也是以117个漏洞排名第一，其次是存在39个漏洞的SQLi。