查看原文
其他

2019年最吸引攻击炮火的 Web 框架:WordPress 和 Apache Struts

综合编译 代码卫士 2022-05-23
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队



概要

漏洞风险管理公司 RiskSense 刚刚发布关于顶级 Web 和应用框架漏洞的报告指出,2019年的框架漏洞总量下降但武器化率提高,其中 WordPress  Apache Struts 拥有最多武器化漏洞,而输入验证超越跨站点脚本,成为框架中最常被武器化的弱点。

RiskSense 公司的首席执行官 Srinivas Mukkamala 指出,“即便遵循了最佳应用开发实践,但框架漏洞可导致组织机构发生安全事件。同时,更新框架也会带来危险,因为更改可影响应用程序的行为、外观或内在安全。因此,框架漏洞是最重要的但尚未被完全理解以及常被忽视的企业攻击面的元素之一。”而这些漏洞如被利用,则可造成类似Equifax公司发生的导致1.47亿人员数据遭泄露的严重后果。

报告的数据收集自多种来源,包括 RiskSense 专有数据、公开的威胁数据库以及 RiskSense研究人员和渗透测试人员的研究成果。该报告研究了2010年至2019年11月期间的1662个漏洞。

报告要点


(1)  WordPress Struts 成“众矢之的”

在过去十年中,单是这两种框架就占据57%的被武器化漏洞。WordPress 虽面临多种问题但 XSS 漏洞是最常见问题,而输入验证是 Apache Struts 框架的最大风险。它们各自相应的底层语言 PHP 和 Java 也是最常被武器化的语言。

(2)  2019年漏洞数量下降但武器化率提高

虽然和之前相比,2019年的框架漏洞总量下降,但武器化率升至8.5%,而 NVD 在同一时期的平均武器化率为其一半不到 (3.9%)。这种增长主要是因为 Ruby on Rails、WordPress 和 Java 中的武器化率增长导致的。

(3)  输入验证取代 XSS 成“弱点之王”

虽然 XSS 问题是这10年间最常见的漏洞,但在过去5年中跌至第5位。这表明框架在这个重要领域已经取得进展。同时,输入验证成为最大的框架安全风险,占过去5年中所有被武器化漏洞的24%,主要影响 Apache Struts、WordPress 和 Drupal。

总体而言,27.7%的 WordPress 漏洞被武器化;Apache Struts 被武器化的漏洞数量排第三,不过它的总体漏洞武器化率在所有框架中是最高的之一,共有38.6%的 Struts 漏洞遭武器化。

SaltStack公司的产品管理负责人 Mehul Revankar 表示,Apache Struts 是武器化率最高的应用框架之一是有道理的。它是当代很多 web 应用的关键依赖关系,目前难以知晓某款应用是否使用该框架。

(4)  注入弱点被高度武器化

虽然和 SQL 注入、代码注入和多种命令注入相关的漏洞仍然非常罕见,但其中一些漏洞的武器化率最高,常常超过50%。事实上,前三大武器化率最高的弱点是命令注入(60%)、OS命令注入(50%)和代码注入(39%)。这使得它们成为攻击者追逐的“座上客”。

(5)  JavaScript 和 Python 框架的武器化率最低

例如,2019年,基于 JavaScript 的 Node.js 中的漏洞数量要大大低于其它 JavaScript 框架,共有56个漏洞但被武器化的只有1个。同样,Django 共有66个漏洞但被武器化的只有1个。

nVisium 公司的首席执行官 Jack Mannino 表示,“十年来,web 应用漏洞已成为越来越成熟的攻击向量。WordPress 和 Apache Struts 实现因过时的插件和库版本而备受诟病。由于在很长时间这些系统仍未被修复更新,因此它们被暴露的几率较高。这些科技的现成利用遍布攻击者工具集,而未来仍将如此。”




推荐阅读

开源软件源代码安全缺陷分析报告——框架类软件专题

网络安全联盟发布首个开源的安全工具通讯框架

Apache Struts 2 开源开发框架中出现严重漏洞 可导致远程代码执行

这两款付费扩展有严重缺陷,任何人可轻松黑掉 WordPress 站点



原文链接

https://threatpost.com/wordpress-apache-struts-most-bug-exploits/153927/

https://risksense.com/press_release/risksense-spotlight-report-finds-wordpress-and-apache-are-most-weaponized-web-and-application-frameworks/



题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。


                           点个“在看”,一起玩耍

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存