调查:96%的应用程序有安全漏洞

标签: 应用程序 安全漏洞 | 发表时间:2014-02-22 11:03 | 作者:
出处:http://news.cnblogs.com/

2 月 22 日消息,据国外媒体报道,Web 安全和渗透测试厂商 Cenzic 公司最新发表的报告称,补丁部署的改善和安全编码做法缓解了安全漏洞的影响。然而,自带设备工作、云服务和移动应用的出现以及机构不能检测和解决信息泄露、身份识别和授权以及进程管理等问题几乎使安全漏洞无处不在,96% 应用存在安全漏洞。事实上,每个应用平均有 14 个安全漏洞,超过去年平均 13 个的数量。

这篇报告中披露的应用程序安全漏洞的范围包括:

1. 移动应用中的安全漏洞在悄悄增长。80% 的移动应用包含侵犯隐私和权限过大漏洞。

2. 与第三方共享的应用中的安全漏洞在增长。机构外部的云服务提供商和供应链伙伴是目前威胁的主要来源。

3. 有安全漏洞的应用引起信息泄露。23% 的安全漏洞与信息泄露有关。

4. 跨站脚本等老问题仍是安全漏洞的原因。25% 的安全漏洞与跨站脚本有关。

5. 其他方面的混合的安全漏洞也不可忽视。身份识别或授权方面的瑕疵占安全漏洞的 15%,进程管理错误占安全漏洞的 13%。

这些安全漏洞许多都是可以避免的。Cenzic 介绍了能够保证应用程序安全的一些措施。

·采用安全编码的做法。应用开发者要使用一些技术避开潜在的安全突破问题。高质量的编写代码对于阻止攻击是最有效的。

·使用 Web 应用防火墙、基于 Web 的应用防火墙能够根据政策阻止应用中存在的具体的安全漏洞,不用重新编写应用代码。

·保证正确的服务器设置。这是管理服务器硬件、操作系统和运行具体应用的设备的安全证书的广泛的做法。

本文链接

相关 [应用程序 安全漏洞] 推荐:

调查:96%的应用程序有安全漏洞

- - 博客园_新闻
2 月 22 日消息,据国外媒体报道,Web 安全和渗透测试厂商 Cenzic 公司最新发表的报告称,补丁部署的改善和安全编码做法缓解了安全漏洞的影响. 然而,自带设备工作、云服务和移动应用的出现以及机构不能检测和解决信息泄露、身份识别和授权以及进程管理等问题几乎使安全漏洞无处不在,96% 应用存在安全漏洞.

Gmail发现安全漏洞

- Royce - Solidot
6月1日,Google官方博客宣布数百Gmail用户遭到黑客攻击,搜索巨人称帐户劫持不是Gmail本身的安全漏洞所致. 攻击者使用的钓鱼攻击,他们向特定帐户发送一封邮件,内有钓鱼网址链接,欺骗用户输入密码. 然而今天Gmail用户温云超发现Google的邮件服务确实存在安全问题,他演示了被钓鱼的过程(YouTube),他收到一封“李承鹏参选人大,邀请你参加”的邮件,文章呼吁支持者前往一个链接支持李承鹏.

APPScan安全漏洞扫描

- - 互联网 - ITeye博客
欢迎有需要的朋友们前来下载使用. 个人认为appscan扫描太慢,不如WVS扫描快,可配合使用. IBM AppScan安装破解教程. 1、在本站提供的百度网盘地址中下载这两个文件,AppScan_Std_9.0.3.6_Eval_Win.exe是安装主程序,LicenseProvider.dll为破解文件,双击AppScan_Std_9.0.3.6_Eval_Win.exe进行安装.

WebGL存在严重的安全漏洞

- CandyFrankie - Solidot
Panggit 写道 "HTML5中的WebGL技术已在Firefox和Chrome等浏览器中实现,并被默认开启,但这实际上给浏览器带来了极大的安全隐患. 问题根源在于,大多显卡以及显卡驱动在设计时并不考虑安全问题,而将相关安全问题交由操作系统完成. 但浏览器沙盒跳过了这一环节默认WebGL可以被安全执行,这会使脚本取得跨域名的执行权限,甚至取得访问本地文件的权限.

Tor修复部分安全漏洞

- Yan - Solidot
法国研究人员Eric Filiol声称发现了Tor匿名网络加密系统存在一个严重漏洞,能让攻击者发现网络中隐蔽的节点,甚至利用漏洞控制使用者的计算机. 漏洞与Tor加密实现有关,研究人员没有披露攻击细节. Tor项目基金会发表声明驳斥了 Filiol的部分说法,称他的数据是有缺陷,他的声明有夸大之嫌,同时指出研究人员没有与Tor分享研究数据.

Metasploit Framework 4.0发布,开源的安全漏洞检测工具

- Tairan Wang - ITeye资讯频道
Metasploit是一款开源的安全漏洞检测工具,由于是免费的,因此常被安全工作人员用来检测系统的安全性. Metasploit Framework (MSF)是2003 年以开放源代码方式发布、可自由获取的开发框架,这个环境为渗透测试、shellcode 编写和漏洞研究提供了一个可靠的平台. 这个框架主要是由Ruby编写的,并带有一些C语言和汇编语言组件.

部分 HTC 手機發現存在高危安全漏洞

- Eastar Lee - Android 資訊雜誌 android-hk.com
根據來自 Android Police 的報導,有安全研究人員在部分 HTC 手機上發現了一個高危安全漏洞,允許犯罪分子很輕易取得完整手機及個人資料. 而目前所知受影響的手機包括 EVO 4G、EVO 3D、Thunderbolt、EVO Shift 4G、MyTouch 4G Slid、Sensation 等,全都屬於硬體規格較高階的 HTC 機款.

Pod2g发现iPhone多年的安全漏洞

- - 快乐无极的博客
  Pod2g宣布已发现iOS中的一个安全漏洞,可以用来进行SMS短信造假. 这个漏洞从第一代iPhone就开始存在,直到iOS 6 beta 4还没有被修复.   短信在有效载荷过程中的一个环节叫做UDH,这个UDH是任意的,但是限定了许多先进的功能不跟所有的移动设备兼容. 其中有一个功能是让用户更改短信的回复地址.

因安全漏洞,微软建议用户禁用 Windows Gadgets

- - LiveSino - LiveSide 中文版
本周初微软发布了一则 安全公告,告知用户可能会因为“不安全”的 Windows Sidebar 和 Gadgets 恶意代码而受到攻击. Computerworld 称研究员将在本月底的 Black Hat 大会上公开这些安全漏洞. 微软暂时给出的解决方案是:禁用 Windows Sidebar 和 Gadgets 小工具功能.

JavaScript 常见安全漏洞及自动化检测技术

- - IBM developerWorks 中国 : 文档库
随着 Web2.0 的发展以及 Ajax 框架的普及,富客户端 Web 应用(Rich Internet Applications,RIA)日益增多,越来越多的逻辑已经开始从服务器端转移至客户端,这些逻辑通常都是使用 JavaScript 语言所编写. 但遗憾的是,目前开发人员普遍不太关注 JavaScript 代码的安全性.