Cenzic公司的最新報告顯示，2009年上半年，Mozilla Firefox漏洞占據(jù)了瀏覽器漏洞總量的44%，多過任何其他的瀏覽器。

Apple的Safari瀏覽器位列第二，其漏洞量占有率為35%，其后是IE（15%）?？偛课挥诩又莸臐B透測試廠商Santa Clara說，Safari漏洞是由基于Apple iPhone瀏覽器的問題引發(fā)的。Cenzic說瀏覽器漏洞占所有Web漏洞量的8%。

Cenzic在2009年上半年收集了基于Web的漏洞數(shù)據(jù)，瀏覽器的排名就是由研究審查這些數(shù)據(jù)得出的bug數(shù)來決定的。這家公司稱其識別出的3100個漏洞通告中78%是Web漏洞。

專家警告稱瀏覽器廠商修復(fù)的漏洞的數(shù)目跟其瀏覽器的安全性之間沒有必然的聯(lián)系。例如，Mozilla可能比其他的瀏覽器廠商在報告和修復(fù)漏洞方面更主動。

Mozilla的安全性和可用性專家Johnathan Nightingale說統(tǒng)計bug數(shù)是在浪費時間。Nightingale提醒了一個不容忽視的事實：Mozilla能夠在五六天的時間內(nèi)向其90%的用戶群提供修復(fù)補丁，這是許多其他的瀏覽器廠商所無法匹敵的。

Nightingale說：“只有在每個廠商都能夠公開其修復(fù)的所有bug信息，并且每個安全補丁都能夠很好地記錄在案的情況下，才會產(chǎn)生比較合理的評估。然而有些廠商并沒有這么做，或者他們會通過將幾個補丁一起打成包來減輕漏洞的數(shù)量，這樣以來他們在這些報告中就會顯得出色?！?/P>

Nightingale說，更重要的事實是，許多用戶使用過期的第三方瀏覽器控件，這讓攻擊者有機可乘。Mozillla在十月啟動了一種工具，它可以掃描Firefox以檢查過期的插件。

從2008年的下半年開始Web應(yīng)用程序的漏洞數(shù)目增長量超過了10%。這些漏洞存在于Web服務(wù)器、應(yīng)用程序、Web瀏覽器、插件和ActiveX控件之中。Cenzic說，信息泄露、跨站點腳本(XSS)錯誤以及不當(dāng)?shù)纳矸菡J(rèn)證bugs是許多Web應(yīng)用程序的大問題。

Cenzic的報告稱：“現(xiàn)在可購買到的應(yīng)用程序的公開漏洞中，SQL注入、XSS再次成為最常見的漏洞，這就是為什么在2009年上半年大多數(shù)的攻擊都是對這兩種漏洞的攻擊，這不是巧合?！?/P>

Cenzic說，信息泄露錯誤占據(jù)了Cenzic測試發(fā)現(xiàn)的漏洞的87%。通過透漏用戶敏感數(shù)據(jù)的Web應(yīng)用程序或開發(fā)人員遺留的HTML注釋，黑客能夠收集數(shù)據(jù)并試圖攻擊公司的防線。XSS錯誤占據(jù)已知漏洞的73%。這些漏洞使攻擊者能夠向應(yīng)用程序注入惡意代碼，通過內(nèi)容欺騙或者劫持合法網(wǎng)站來攻擊訪問者。

Cenzic說，身份認(rèn)證漏洞也在增長，占據(jù)了Cenzic 發(fā)現(xiàn)漏洞總量的56%。這些錯誤允許用戶在沒有提供正確認(rèn)證的情況下登錄。有時，這些錯誤會泄露合法的用戶名和密碼，讓黑客可以輕易地獲取對系統(tǒng)的訪問。

該公司還舉了一些黑客攻擊常見Web漏洞的著名攻擊事件。六月份，黑客對HSBC和Barclays銀行網(wǎng)站發(fā)起了XSS攻擊。五月份，土耳其黑客通過SQL注入攻擊的方式，獲取了美國軍方Web服務(wù)器的底層訪問權(quán)限，將網(wǎng)站的頁面重定向到抗議氣候變化的網(wǎng)頁。

報告中指出：“從過去兩年間發(fā)生的一些非常知名的攻擊中就可以很輕易地看出，許多潛在的攻擊在幾個月甚至幾年之后才被查出，有些甚至是偶然間被發(fā)現(xiàn)的。我們相信，在被通報的所有攻擊之外，還有更多數(shù)以百計的攻擊未被發(fā)現(xiàn)，因為許多公司在被黑客攻擊的時候并不知情。”

【編輯推薦】

1. 修正穩(wěn)定性問題 Firefox 3.5.5發(fā)布
2. Firefox JavaScript Web-Worker調(diào)用釋放后使用漏洞
3. Windows和Firefox用戶警惕未經(jīng)同意安裝上的插件