Web应用程序安全公司Netsparker使用他们的自动化安全扫描工具,对396 个Web应用程序进行了扫描,发现了269个安全漏洞,其中最多的漏洞是跨站点脚本(XSS)和SQL注入(SQLI)漏洞,占到全部漏洞数量的87%,其中甚至还有多个零日漏洞。

对每个漏洞类别细分,研究人员发现了180个 XSS漏洞,如反射XSS,存储XSS等等,占到全部漏洞的67%, XSS漏洞占扫描发现所有安全漏洞的67%;其次是SQL注入漏洞,数量有55个,占到全部漏洞数量20%。第三名是远程和本地文件包含漏洞,数量有16个,包括跨站请求伪造(CSRF),远程命令执行(RCE)命令注入,打开重定向,HTTP头注入和框架注入等漏洞。

这次扫描还统计了开源应用程序使用的编程语言种类,其中大多数使用PHP编程,有326个,其次使用ASP / ASP.NET进行编程,有31个。其他39应用程序使用超过10种不同技术组合构建。软件开发环境如此多样化,也是导致大量安全漏洞的原因之一。

本文转自d1net(转载)

开源Web应用中最常见漏洞是XSS和SQLI漏洞相关推荐

  1. 开源 Web 应用最常见漏洞是 XSS 和 SQLI 漏洞

    Web应用程序安全公司Netsparker使用他们的自动化安全扫描工具,对396 个Web应用程序进行了扫描,发现了269个安全漏洞,其中最多的漏洞是跨站点脚本(XSS)和SQL注入(SQLI)漏洞, ...

  2. 速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用...

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  3. [转载]Java web应用中的常见字符编码问题的解决方法

    以下是 Java web应用的常见编码问题 1. html页面的编码 在web应用中,通常浏览器会根据http header: Content-type的值来决定用什么encoding, 比如遇到Co ...

  4. Web开发中的常见应用

    一.文件下载 文件下载功能是web开发中经常使用到的功能,使用HttpServletResponse对象就可以实现文件的下载. 文件下载功能的实现思路: 获取要下载的文件的绝对路径 获取要下载的文件名 ...

  5. 开源web应用中存在三个XSS漏洞,可导致系统遭攻陷

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PT Swarm 公司的研究人员在热门的开源开发应用Evaluation CMS.FUDForum 和 GitBucket中发现了三个跨站脚本 ...

  6. mui实现手机web前端拍照_Web前端中的常见技术名称及所实现的功能

    今天小编要跟大家分享的文章是关于Web前端中的常见技术名称及所实现的功能.熟悉Web前端工作的小伙伴都知道Web中有很多的技术,想要成为一名合格的Web前端工程师你必须要一项一项的掌握技术,如Html ...

  7. ava web 开发过程中常见的一些错误

    现在通常人们讨论和实现Java WEB应用时,往往过度关注框架和平台,对常见实现的各种模式未有深入的考虑.自从在IBM DevelopWork上见到一个名词"错误模式",就一直仔细 ...

  8. Quartz-Java Web项目中使用Quartz

    文章目录 概述 实现 示例 步骤一 构建Maven项目 步骤二 日志组件的配置logback.xml 步骤三 自定义监听器的编写 步骤四 web.xml中注册监听器 步骤五 启动 概述 Quartz也 ...

  9. web开发中常用的概念

    Tomcat服务器 Web开发中的常见概念 B/S系统和C/S系统 Brower/Server:浏览器 服务器 系统 ----- 网站 Client/Server:客户端 服务器 系统 ----- Q ...

最新文章

  1. HttpClient乱码问题
  2. IMDB是否提供API? [关闭]
  3. jenkins(4): jenkins 插件
  4. 机器学习 感知机算法_0(Matlab实现)
  5. mysql创建主键索引的关键字使用_mysql字段、主键、索引等的创建与修改命令
  6. sqlserver 库服务器导数据
  7. dom对象常用的属性和方法有哪些?
  8. 电子沙盘技术和android,ERP沙盘与电子沙盘的区别
  9. matlab给函数积分,MATLAB函数积分
  10. MATLAB图像灰度化—优化三种灰度化算法
  11. 小程序云开发 免费版 云函数数量超过限制 怎么办
  12. 计算机等级考试报名被锁死,注册表被锁?教你解开的三种方法!
  13. 面试题:数组和链表的区别
  14. java编译器对字符串+运算的优化导致的有趣现象
  15. ARP(地址解析协议)和RARP(逆地址解析协议)
  16. 企业员工顶级考核管理系统
  17. c语言编程镖局运镖,打点
  18. 詹姆斯高斯林_詹姆斯·高斯林(James Gosling)加入RCDb顾问委员会
  19. SRAM和SDRAM的简单介绍
  20. 软件测试面试题:已知一个字符串为“hello_world_yoyo”, 如何得到一个队列 [“hello“,“world“,“yoyo“]

热门文章

  1. python中requests库的用途-python中requests.session的妙用
  2. python 调用linux命令-Python执行Linux系统命令的4种方法
  3. python读文件操作-python文件操作读取文件写入文件
  4. 哪里可以找到python的免费教程-哪里有实用且免费的Python视频教程
  5. 在Jetson Xavier NX安装中文输入法(googlepinyin中文输入法)
  6. 导入torchvision出现:AttributeError: module ‘torch.jit‘ has no attribute ‘unused‘错误
  7. spring mvc框架设计与实现
  8. C 语言Hello world
  9. 某CrackMe算法分析
  10. systypes的详解