2019年开放源代码漏洞激增50%
WhiteSource新发布的漏洞报告称,2019年公开的开源软件漏洞数量达到了6,000多个,而2018年仅为4,000多个,数量激增50%!
“这可以归因于开源组件的广泛采用以及过去几年开源社区的大规模增长,以及媒体对最近数据泄露的关注和企业对开源安全的意识增强。”报告指出。
C语言依然是“漏洞之王”
WhiteSource对650多位开发人员进行了调查,从国家漏洞数据库(NVD)、安全公告、经过同行评审的漏洞数据库、问题跟踪器等收集了数据,发现:
- 已披露的超过85%的开源安全漏洞已经有可用修复程序;
- 只有84%的已知开源漏洞被NVD收录,其中一些漏洞在被发现后数月才收录;
- 由于代码量巨大,C仍然具有最高的漏洞百分比(30%),其次是PHP(27%)和Java(15%)。
Python的流行并未导致其漏洞百分率的上升,这到底是因为安全编码实践的结果,还是业界对Python项目的安全性研究工作松懈所致不得而知。
SQL注入杀回前十
2019年比较常见的安全漏洞(CWE)是跨站点脚本漏洞(XSS),其次是不正确的输入验证漏洞和缓冲区错误:
2019年的TOP5漏洞与2018年相比变化不大。2018年,缓冲区错误排在第二位,输入验证漏洞排在第三位,其余部分相同。
研究人员指出:
令人担忧的是,比较常见的CWE是简单的代码错误和不准确的编码导致,所有开发人员都可以通过遵守基本的编码标准来避免这种情况。
虽然不在前五名之列,但有趣的是,CWE-352——跨站点请求伪造(CSRF)在今年的前十名CWE中崭露头角,而2015年之后一度沉寂的CWE-89——SQL注入,再次打榜。这可能是由于开源Web项目的数量增加导致Web漏洞激增,Web开发人员在编码时应当重新重视这个问题。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
重新定义Wi-Fi功能,Wi-Fi 6为什么要分两步?
本文转自雷锋网,如需转载请至雷锋网官网申请授权。 Wi-Fi是什么?它是一个基于IEEE 802.11标准的无线局域网技术。如今,Wi-Fi已经覆盖了绝大部分的室内场景,你的手机、电脑、智能音箱都已经离不开Wi-Fi。 但是,大部分人应该对现在的Wi-Fi使用体验并不满意。有时候,Wi-Fi信号满格却上不了网。有时候,你又疑惑为什么100兆带宽的光纤网络却慢如蜗牛。还有的时候,Wi-Fi在追剧或者游戏的时候,突然就断了! 如果,Wi-Fi体验可以提升,你一定会毫不犹豫地拥抱这项新技术。Wi-Fi 6就是能够重新定义Wi-Fi功能,现在最值得期待的技术之一。这项正在普及的最新Wi-Fi技术将分两步来给你不一样的Wi-Fi体验。 为什么需要Wi-Fi 6? Wi-Fi连接速率和稳定性的问题你一定遇到过,因为这些问题在一定程度上就难以回避。回顾一下,20多年前有第一代Wi-Fi标准的时候,也就是移动通信的2G向3G演进的时期,无论是在家里还是在公共场所,Wi-Fi只需要为少量的设备提供连接服务,Wi-Fi也不被人熟知。 到了2010年左右,4G时代来临,智能手机和平板电脑也开始普及,Wi-F...
- 下一篇
记录并浅析一次服务器被黑事件
一.基本情况 偶然发现一台web服务器很怪异,其网站页面上增加了一堆外文的页面链接,点击一篇进去之后,内容如下图所示: 该网站是中文网站,绝不可能存在上述的页面内容,同时页面中嵌入一堆的JS代码。很明显,该网站已经被黑,为避免遭受进一步的危害,紧急采取措施让服务器下线。由于该台服务器部署于单位异地远程机房,下线后无法直接对服务器进行分析,只是采取远程协同分析日志文件的方式(拿到一些web日志文件,以及一些异常PHP文档),因此无法实施深入分析。 服务器是windows系统,使用Apache作为web服务器,网站基于PHP+WordPress开发。服务器基本情况: 二.页面简单分析 上图中的JS代码如下表所示: 经过简单分析,很明显上表中的这段代码应该是攻击者的XSS跨站漏洞利用代码,主要用于获取访问该页面的用户的cookie信息,根据函数名称getCookie也很容易得知其功能。 上述代码中base64加密部分解密后后内容如下: 可知,攻击者XSS服务器为193.238.46.57,地址查询如下图所示,目前该页面无法访问。 三.日志分析 1、access.log日志 分析该日志,发现了...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- SpringBoot2整合Redis,开启缓存,提高访问速度
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Hadoop3单机部署,实现最简伪集群
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- MySQL8.0.19开启GTID主从同步CentOS8
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- Windows10,CentOS7,CentOS8安装MongoDB4.0.16