2011年公開報道的新的安全漏洞的數(shù)量下降了20%，但一項由惠普公司進(jìn)行的關(guān)于自定義Web應(yīng)用程序的分析顯示，自定義Web應(yīng)用程序容易產(chǎn)生各種常見的編碼錯誤。

惠普警告安全專業(yè)人士，不要因為公開報道上整體漏洞的減少而對安全產(chǎn)生錯誤的感覺。根據(jù)2011年惠普網(wǎng)絡(luò)安全風(fēng)險報告(HP2011CyberSecurityRisksReport)，漏洞數(shù)量的下降可以歸因于多種因素，包括軟件安全方面的改進(jìn)和不斷變化的漏洞信息披露趨勢，后者可能會造成相當(dāng)數(shù)量的漏洞未統(tǒng)計。該報告于上周發(fā)布，對來自開源漏洞數(shù)據(jù)庫(OpenSourceVulnerabilityDatabase，OSVDB)、惠普DVLabs的零日計劃和惠普Fortify的網(wǎng)絡(luò)安全研究人員的數(shù)據(jù)進(jìn)行了詳細(xì)的分析。

盡管2006年以來，在商業(yè)上可用的網(wǎng)絡(luò)應(yīng)用程序的漏洞數(shù)量一直在下降，但由惠普Fortify部門進(jìn)行的、關(guān)于超過359個獨(dú)特的自定義Web應(yīng)用程序的審查，卻向我們展示了不同的一面。分析發(fā)現(xiàn)，許多自定義的Web應(yīng)用程序中蔓延著常見的編碼錯誤，這使它們?nèi)菀壮霈F(xiàn)跨站點(diǎn)腳本和SQL注入攻擊。

對自定義的Web應(yīng)用程序進(jìn)行靜態(tài)分析后發(fā)現(xiàn)，超過一半的應(yīng)用程序在跨站點(diǎn)腳本方面是非常脆弱的，且86%的程序都很難抵御注入漏洞。自定義應(yīng)用程序也容易受到不安全的直接對象引用漏洞，且?guī)缀跛鼈兌既菀自庥鲂畔⑿孤┖湾e誤處理不當(dāng)。動態(tài)分析(即通過執(zhí)行實時數(shù)據(jù)來評估程序)發(fā)現(xiàn)，66%以上的程序易受不安全通信的漏洞影響。“99%的黑客攻擊是為了進(jìn)行信息收集，所以這并非是微不足道。”報告中寫道。

惠普稱，數(shù)據(jù)顯示，自定義Web應(yīng)用程序的編碼錯誤是非常普遍的，攻擊者們越來越多的以它們?yōu)楣裟繕?biāo)。從2010年至2011年，Web應(yīng)用攻擊增長了近50%。觀察到的總攻擊的13%是由TippingPointIPS的客戶和蜜罐組成的，它們過去是為趨勢分析和新興威脅檢測捕捉新漏洞的?；萜瞻l(fā)現(xiàn)許多攻擊是由黑洞漏洞工具包(BlackHoleExploitKit)驅(qū)動的，它是一個自動攻擊工具包，因傳播宙斯，Cutwail，Spyeye，和Carberp僵尸而出名。

“任何規(guī)模級別的企業(yè)仍面臨著基本安全錯誤問題，如信息泄漏和不安全的通信”，報告中寫道，“應(yīng)采取措施，以確保應(yīng)用程序中沒有那些潛在的對攻擊者而言重要的資料。最終的解決方案應(yīng)是將安全嵌入在發(fā)展過程中，而不是做表面功夫。”

該報告調(diào)查發(fā)現(xiàn)，在部署補(bǔ)丁程序方面，或為防止執(zhí)行跨站點(diǎn)腳本攻擊而支持內(nèi)置到微軟InternetExplorer8中的新的瀏覽器安全功能方面，網(wǎng)站管理員們是失敗的。

在2011年披露的十大商業(yè)漏洞名單上，AdobeShockwave位列第一。接下來的是蘋果QuickTime錯誤，HPDataProtector缺陷和甲骨文的Java漏洞。這些信息來源于HPDVLabs零日計劃，該計劃的內(nèi)容是從安全研究人員那里購買漏洞信息，然后再免費(fèi)的將信息提供給受影響的廠商。而RealNetworks公司的RealPlayer，Adobe公司的Reader，微軟的IE，微軟OfficeNovelliPrint和惠普OpenView錯誤“填補(bǔ)”了ZDI商用產(chǎn)品十大漏洞名單上的其余空位。