研究顯示，2013年，web應(yīng)用程序供應(yīng)商在發(fā)現(xiàn)一個漏洞后，平均需要將近兩周的時間發(fā)布關(guān)鍵的安全更新。

根據(jù)瑞士信息安全公司High-Tech Bridge的最新“WEB應(yīng)用安全趨勢”報告，這個時間比前一年縮短了35%。

2012年為一個關(guān)鍵的安全漏洞推出補(bǔ)丁的平均時間為17天，2013年縮短到11天。另外，針對所有風(fēng)險的平均響應(yīng)時間為18天，也有了33%的改善。

High-Tech Bridge的這份報告呈現(xiàn)了供應(yīng)商通知一個漏洞后響應(yīng)的時間和發(fā)布安全補(bǔ)丁的時間。

大多數(shù)供應(yīng)商都會公平、快速地提醒用戶識別出漏洞，但不是全部。

High-Tech Bridge的CEO Ilia Kolochenko表示：“用11天為關(guān)鍵漏洞打補(bǔ)丁還是太長。但是，值得慶幸的是，盡管嚴(yán)重漏洞的檢測和利用已經(jīng)變得越來越復(fù)雜，但還是有廠商能夠在三小時之內(nèi)對復(fù)雜漏洞做出反應(yīng)，比如BigTree CMS。”

安全意識逐漸增強(qiáng)

這份最新的報告顯示，供應(yīng)商對應(yīng)用安全的重要性的普遍認(rèn)識正在增長，因為現(xiàn)在在談?wù)摪踩珕栴}時都會很嚴(yán)肅。

報告稱，過去，知名供應(yīng)商會延期發(fā)布安全相關(guān)的補(bǔ)丁程序，因為這有助于他們發(fā)布具有新功能和漏洞補(bǔ)丁的新版本的軟件。但是在2013年，沒有大的供應(yīng)商采取了這種安全的優(yōu)先功能的“危險方法”。

根據(jù)High-Tech Bridge的報告，在2013年廠商發(fā)布的62個安全公告中，只有三個沒有打補(bǔ)丁。

報告稱，盡管更好的編碼實踐使得在成熟的應(yīng)用中很難找到嚴(yán)重漏洞，但是還是有由于基本的錯誤導(dǎo)致破壞的情況。比如，沒有刪除安裝腳本，使得網(wǎng)絡(luò)罪犯危及整個應(yīng)用程序。

Kolochenko表示：“這就凸顯了獨(dú)立安全測試和web應(yīng)用程序?qū)徲嫷闹匾裕驗榧词故菍I(yè)的開發(fā)人員也可能忘記控制重要的安全點。”

很多以前的這種被評為高風(fēng)險或關(guān)鍵風(fēng)險的漏洞在2013年的公告中都降級為中等風(fēng)險，因為攻擊者想利用這種漏洞的話需要先認(rèn)證或登錄。

Kolochenko表示：“這就證實了web開發(fā)人員還需要注意應(yīng)用程序的安全部分只允許‘可信’團(tuán)隊的訪問，但實際上有可能是惡意訪問。”

內(nèi)部應(yīng)用程序、XSS以及SQLi最容易受到攻擊

High-Tech bridge結(jié)合web應(yīng)用安全測試軟件和滲透測試的統(tǒng)計研究發(fā)現(xiàn)，內(nèi)部應(yīng)用程序是最容易受到攻擊。

內(nèi)部應(yīng)用程序占最容易受到攻擊的應(yīng)用的40%，其次是內(nèi)容管理系統(tǒng)的插件和模塊，為30%，小型內(nèi)容管理系統(tǒng)占25%，大型內(nèi)容管理系統(tǒng)(比如WordPress)占5%。

跨站腳本(XSS)攻擊和SQL注入(SQLi)漏洞仍是2013年發(fā)現(xiàn)的最常見的弱點，分別占所有漏洞的55%和20%。

High-Tech Bridge的首席研究官M(fèi)arsel Nizamutdinov表示，有90%的大中型內(nèi)容管理系統(tǒng)很容易受到XSS和SQL的攻擊，因為它們通常不更新或者配置不對。

但是，我們的研究在給這個行業(yè)帶來積極影響方面也取得了很大的進(jìn)步，因為在我們與軟件供應(yīng)商的努力和協(xié)作下，數(shù)以萬計的流行的網(wǎng)站已經(jīng)不再處于風(fēng)險之中。