网页应用安全漏洞二十年抛物线
作者:星期三, 十二月 24, 20140

1_副本

白帽子实验室(Whitehat Labs)的安全人员罗伯特·汉森,最近在博客中贴出从漏洞数据库查询到的一组网页(Web)应用安全漏洞的数据。这些数据显示,随着网站数量的飞速发展,网页应用的安全漏洞也在急速上升。但有意思的是,从2008年开始,漏洞数据反而呈下降趋势。

1

从上图中可以看出,从90年代的几个到几十个数量,一直到2008年的峰值(4615)。自此之后开始下降,今年的web应用漏洞数量是1607个(截止到8月27日)。

许多人可能会觉得奇怪,感觉上这些年的漏洞是越来越多,而不是相反。罗伯特·汉森从以下的几个原因,解释了一下为什么会有这样的现象出现。

编码质量

编码质量这些年得到了提高,比过去更好的漏洞报告机制,更好的培训,源代码扫描,手工代码评估等等。

互联网的同质性

人们越来越少地使用新的代码。随着代码的成熟,人们更乐于使用已经得到验证的,威胁更小的,现下正在应用的代码,而不是倾向于新的代码框架体系。

像WordPress,Joomla或Drupal这样的主流内容管理系统,满足了网站使用者的大部分需求,并得到了长时间和大规模的测试,各自均拥有专门解决漏洞问题的安全响应团队。这样的网站平台,比其他没有这些基础的平台从概率上讲要安全的多。

攻击者更加倾向于定制的网页应用

攻击者的战术正在改变,他们更加倾向于攻击定制的网页应用,比如你的本地银行、第三方支付,或社交网站),而不是那些使用开放源代码的大量网站。而那些定制化的网站通常并不会把漏洞公开,因此很少能被列到上面的那些统计数字中。

人们发现的漏洞越来越少

网站开发–>产品服务–>漏洞–>黑客攻击–>补丁这个生态圈进化到一定地步后,由于利益的减少,那些研究人员会更加不愿意提交漏洞,而是更愿意直接与厂商打交道,或干脆把漏洞握在手中,待价而沽。现在厂商方面日益红火的漏洞奖励计划,就是摆在面前的例子。

无论怎样,这都是一个有趣的趋势,业内人士应该予以关注。也许这一个复杂现象的综合体,我们可能永远也无法彻底了解真相。但我们应该注意这些数据,因为其中可能隐藏着如何降低这些数字的线索。

 

关键词:
分享:
0

相关文章

写一条评论

 

 

0条评论