调查显示:2013年Web应用安全修复平均需要11天

研究显示,2013年,web应用程序供应商在发现一个漏洞后,平均需要将近两周的时间发布关键的安全更新。

成都创新互联公司是一家集网站建设,镇原企业网站建设,镇原品牌网站建设,网站定制,镇原网站建设报价,网络营销,网络优化,镇原网站推广为一体的创新建站企业,帮助传统企业提升企业形象加强企业竞争力。可充分满足这一群体相比中小企业更为丰富、高端、多元的互联网需求。同时我们时刻保持专业、时尚、前沿,时刻以成就客户成长自我,坚持不断学习、思考、沉淀、净化自己,让我们为更多的企业打造出实用型网站。

根据瑞士信息安全公司High-Tech Bridge的最新“WEB应用安全趋势”报告,这个时间比前一年缩短了35%。

2012年为一个关键的安全漏洞推出补丁的平均时间为17天,2013年缩短到11天。另外,针对所有风险的平均响应时间为18天,也有了33%的改善。

High-Tech Bridge的这份报告呈现了供应商通知一个漏洞后响应的时间和发布安全补丁的时间。

大多数供应商都会公平、快速地提醒用户识别出漏洞,但不是全部。

High-Tech Bridge的CEO Ilia Kolochenko表示:“用11天为关键漏洞打补丁还是太长。但是,值得庆幸的是,尽管严重漏洞的检测和利用已经变得越来越复杂,但还是有厂商能够在三小时之内对复杂漏洞做出反应,比如BigTree CMS。”

安全意识逐渐增强

这份最新的报告显示,供应商对应用安全的重要性的普遍认识正在增长,因为现在在谈论安全问题时都会很严肃。

报告称,过去,老牌供应商会延期发布安全相关的补丁程序,因为这有助于他们发布具有新功能和漏洞补丁的新版本的软件。但是在2013年,没有大的供应商采取了这种安全的优先功能的“危险方法”。

根据High-Tech Bridge的报告,在2013年厂商发布的62个安全公告中,只有三个没有打补丁。

报告称,尽管更好的编码实践使得在成熟的应用中很难找到严重漏洞,但是还是有由于基本的错误导致破坏的情况。比如,没有删除安装脚本,使得网络罪犯危及整个应用程序。

Kolochenko表示:“这就凸显了独立安全测试和web应用程序审计的重要性,因为即使是专业的开发人员也可能忘记控制重要的安全点。”

很多以前的这种被评为高风险或关键风险的漏洞在2013年的公告中都降级为中等风险,因为攻击者想利用这种漏洞的话需要先认证或登录。

Kolochenko表示:“这就证实了web开发人员还需要注意应用程序的安全部分只允许‘可信’团队的访问,但实际上有可能是恶意访问。”

内部应用程序、XSS以及SQLi最容易受到攻击

High-Tech bridge结合web应用安全测试软件和渗透测试的统计研究发现,内部应用程序是最容易受到攻击。

内部应用程序占最容易受到攻击的应用的40%,其次是内容管理系统的插件和模块,为30%,小型内容管理系统占25%,大型内容管理系统(比如WordPress)占5%。

跨站脚本(XSS)攻击和SQL注入(SQLi)漏洞仍是2013年发现的最常见的弱点,分别占所有漏洞的55%和20%。

High-Tech Bridge的首席研究官Marsel Nizamutdinov表示,有90%的大中型内容管理系统很容易受到XSS和SQL的攻击,因为它们通常不更新或者配置不对。

但是,我们的研究在给这个行业带来积极影响方面也取得了很大的进步,因为在我们与软件供应商的努力和协作下,数以万计的流行的网站已经不再处于风险之中。

网页名称:调查显示:2013年Web应用安全修复平均需要11天
标题链接:http://www.shufengxianlan.com/qtweb/news6/216956.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联