WordPress和Apache Struts 占所有被武器化和利用的漏洞中的 55%
所有被武器化和利用的漏洞中約有 55% 是針對兩個應用程序框架的,即 WordPress 和 Apache Struts。Drupal 內容管理系統排名第三,其次是 Ruby on Rails 和 Laravel。
作者/來源:安華金和
根據風險分析公司 RiskSense 本周發布的一份報告顯示,對 2010 年至 2019 年之間所有披露的漏洞進行分析研究發現,所有被武器化和利用的漏洞中約有 55% 是針對兩個應用程序框架的,即 WordPress 和 Apache Struts。Drupal 內容管理系統排名第三,其次是 Ruby on Rails 和 Laravel。
就編程語言而言,PHP 和 Java 應用程序中的漏洞是過去十年中武器化最多的。
密切關注 Node.JS 和 Django
最少的是 JavaScript 和 Python 中的錯誤,但 RiskSense 預計,隨著這兩種語言現在已變得廣泛和流行,並且其採用率已經激增,這種情況將在未來幾年內改變。
更具體地說,用戶和安全公司應密切注意 Node.js 和 Django,這兩個分別是 JavaScript 和 Python 生態系統最流行的應用程序框架。
RiskSense 表示:「 Node.js 的漏洞數量明顯高於其他具有 56 個漏洞的 JavaScript 框架,儘管迄今為止只有一個已經武器化。同樣,Django 具有 66 個漏洞,僅一個被武器化。」
RiskSense 表示:「雖然武器化程度仍然很低,但這些框架中的大量漏洞使它們容易遭受潛在風險的侵害。」他預計,黑客將把目光投向編程界的新星,並考慮將其中的舊 bug 武器化。試圖破壞當今的 JavaScript 和 Python 應用程序。
與過去十年的編程趨勢相一致,RiskSense 還指出,Perl 和 Ruby 這兩種在世紀初很流行的編程語言,現在隨著十年的結束,以及程序員轉向 JavaScript 和 Python,武器化的開發越來越少。
注入漏洞最受追捧
但是 RiskSense 的研究人員不僅查看了正在被武器化的應用程序錯誤。他們還研究了漏洞類型。
根據研究小組的說法,跨站點腳本(XSS)錯誤是 2010 年代披露的最常見的安全錯誤,但它們並不是武器最多的錯誤。
RiskSense 團隊說:「與 SQL 注入、代碼注入和各種命令注入相關的漏洞仍然很少見,但武器化率最高,通常超過 50%。」
研究人員補充說:「實際上,按武器裝備率排名前三的弱點是命令注入(武器裝備占 60%),操作系統命令注入(武器裝備占 50%)和代碼注入(武器裝備占 39%)。」
有興趣了解過去十年漏洞武器化趨勢的更多讀者,可以在 RiskSense 的長達 22 頁的報告中找到更多信息,該報告名為「Cracks in the Foundation: Web and Application Framework Vulnerabilities.」。
來源:ZDNet
更多資訊
以色列正使用手機位置數據來追蹤新冠病毒疫情
外媒報道稱,以色列總理內塔尼亞胡已授權該國安全機構 Shin Bet 使用手機位置數據,以幫助抗擊新冠病毒引發的 COVID-19 疫情。《紐約時報》指出,該數據將用於追溯病毒檢測呈陽性的個人的動向,以確定並隔離潛在的密切接觸者。在接下來的 30 天時間裡,該機構將有權調用運營商收集的相關數據。
來源:cnBeta.COM
Brave 投訴 Google 違反歐洲數據保護規定
Brave 瀏覽器正式投訴競爭對手 Google 違反了歐洲的數據保護條例 GDPR。Brave 認為 Google 濫權,通過它的不同服務收集用戶數據並進行共享,違反了 GDPR 5(1)b 條款。
來源:solidot.org
英首相鼓勵人們在家辦公 結果四大移動網路全部癱瘓
由於新冠病毒疫情導致數百萬英國人在家辦公,今日,英國所有的主要移動網路全部癱瘓。報道稱,英國四大移動運營商 EE、沃達豐、O2 和 Three 今日全部遭遇網路癱瘓,導致數百萬在家辦公的英國人失去網路連接。
來源:新浪科技
Intel 處理器曝新漏洞:打補丁性能驟降 77%
幽靈、熔斷漏洞曝光後,Intel、AMD處理器的安全漏洞似乎突然之間增加了很多,其實主要是相關研究更加深入,而新的漏洞在基本原理上也差不多。事實上,Intel、AMD、ARM、IBM等晶元巨頭都非常歡迎和支持這類漏洞安全研究,有助於提升自家產品的安全性,甚至資助了不少研究項目,近日新曝光的LVI漏洞就是一個典型。
來源:快科技
(信息來源於網路,安華金和搜集整理)
