开源Web应用中最常见漏洞是XSS和SQLI漏洞
Web应用程序安全公司Netsparker使用他们的自动化安全扫描工具,对396 个Web应用程序进行了扫描,发现了269个安全漏洞,其中最多的漏洞是跨站点脚本(XSS)和SQL注入(SQLI)漏洞,占到全部漏洞数量的87%,其中甚至还有多个零日漏洞。
对每个漏洞类别细分,研究人员发现了180个 XSS漏洞,如反射XSS,存储XSS等等,占到全部漏洞的67%, XSS漏洞占扫描发现所有安全漏洞的67%;其次是SQL注入漏洞,数量有55个,占到全部漏洞数量20%。第三名是远程和本地文件包含漏洞,数量有16个,包括跨站请求伪造(CSRF),远程命令执行(RCE)命令注入,打开重定向,HTTP头注入和框架注入等漏洞。
这次扫描还统计了开源应用程序使用的编程语言种类,其中大多数使用PHP编程,有326个,其次使用ASP / ASP.NET进行编程,有31个。其他39应用程序使用超过10种不同技术组合构建。软件开发环境如此多样化,也是导致大量安全漏洞的原因之一。
本文转自d1net(转载)
开源Web应用中最常见漏洞是XSS和SQLI漏洞相关推荐
- 开源 Web 应用最常见漏洞是 XSS 和 SQLI 漏洞
Web应用程序安全公司Netsparker使用他们的自动化安全扫描工具,对396 个Web应用程序进行了扫描,发现了269个安全漏洞,其中最多的漏洞是跨站点脚本(XSS)和SQL注入(SQLI)漏洞, ...
- 速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- [转载]Java web应用中的常见字符编码问题的解决方法
以下是 Java web应用的常见编码问题 1. html页面的编码 在web应用中,通常浏览器会根据http header: Content-type的值来决定用什么encoding, 比如遇到Co ...
- Web开发中的常见应用
一.文件下载 文件下载功能是web开发中经常使用到的功能,使用HttpServletResponse对象就可以实现文件的下载. 文件下载功能的实现思路: 获取要下载的文件的绝对路径 获取要下载的文件名 ...
- 开源web应用中存在三个XSS漏洞,可导致系统遭攻陷
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PT Swarm 公司的研究人员在热门的开源开发应用Evaluation CMS.FUDForum 和 GitBucket中发现了三个跨站脚本 ...
- mui实现手机web前端拍照_Web前端中的常见技术名称及所实现的功能
今天小编要跟大家分享的文章是关于Web前端中的常见技术名称及所实现的功能.熟悉Web前端工作的小伙伴都知道Web中有很多的技术,想要成为一名合格的Web前端工程师你必须要一项一项的掌握技术,如Html ...
- ava web 开发过程中常见的一些错误
现在通常人们讨论和实现Java WEB应用时,往往过度关注框架和平台,对常见实现的各种模式未有深入的考虑.自从在IBM DevelopWork上见到一个名词"错误模式",就一直仔细 ...
- Quartz-Java Web项目中使用Quartz
文章目录 概述 实现 示例 步骤一 构建Maven项目 步骤二 日志组件的配置logback.xml 步骤三 自定义监听器的编写 步骤四 web.xml中注册监听器 步骤五 启动 概述 Quartz也 ...
- web开发中常用的概念
Tomcat服务器 Web开发中的常见概念 B/S系统和C/S系统 Brower/Server:浏览器 服务器 系统 ----- 网站 Client/Server:客户端 服务器 系统 ----- Q ...
最新文章
- HttpClient乱码问题
- IMDB是否提供API? [关闭]
- jenkins(4): jenkins 插件
- 机器学习 感知机算法_0(Matlab实现)
- mysql创建主键索引的关键字使用_mysql字段、主键、索引等的创建与修改命令
- sqlserver 库服务器导数据
- dom对象常用的属性和方法有哪些?
- 电子沙盘技术和android,ERP沙盘与电子沙盘的区别
- matlab给函数积分,MATLAB函数积分
- MATLAB图像灰度化—优化三种灰度化算法
- 小程序云开发 免费版 云函数数量超过限制 怎么办
- 计算机等级考试报名被锁死,注册表被锁?教你解开的三种方法!
- 面试题:数组和链表的区别
- java编译器对字符串+运算的优化导致的有趣现象
- ARP(地址解析协议)和RARP(逆地址解析协议)
- 企业员工顶级考核管理系统
- c语言编程镖局运镖,打点
- 詹姆斯高斯林_詹姆斯·高斯林(James Gosling)加入RCDb顾问委员会
- SRAM和SDRAM的简单介绍
- 软件测试面试题:已知一个字符串为“hello_world_yoyo”, 如何得到一个队列 [“hello“,“world“,“yoyo“]
热门文章
- python中requests库的用途-python中requests.session的妙用
- python 调用linux命令-Python执行Linux系统命令的4种方法
- python读文件操作-python文件操作读取文件写入文件
- 哪里可以找到python的免费教程-哪里有实用且免费的Python视频教程
- 在Jetson Xavier NX安装中文输入法(googlepinyin中文输入法)
- 导入torchvision出现:AttributeError: module ‘torch.jit‘ has no attribute ‘unused‘错误
- spring mvc框架设计与实现
- C 语言Hello world
- 某CrackMe算法分析
- systypes的详解