2019年最吸引攻击炮火的 Web 框架：WordPress 和 Apache Struts

RiskSense 公司的首席执行官 Srinivas Mukkamala 指出，“即便遵循了最佳应用开发实践，但框架漏洞可导致组织机构发生安全事件。同时，更新框架也会带来危险，因为更改可影响应用程序的行为、外观或内在安全。因此，框架漏洞是最重要的但尚未被完全理解以及常被忽视的企业攻击面的元素之一。”而这些漏洞如被利用，则可造成类似Equifax公司发生的导致1.47亿人员数据遭泄露的严重后果。

报告的数据收集自多种来源，包括 RiskSense 专有数据、公开的威胁数据库以及 RiskSense研究人员和渗透测试人员的研究成果。该报告研究了2010年至2019年11月期间的1662个漏洞。

(1)  WordPress 和 Struts 成“众矢之的”

在过去十年中，单是这两种框架就占据57%的被武器化漏洞。WordPress 虽面临多种问题但 XSS 漏洞是最常见问题，而输入验证是 Apache Struts 框架的最大风险。它们各自相应的底层语言 PHP 和 Java 也是最常被武器化的语言。

(2)  2019年漏洞数量下降但武器化率提高

虽然和之前相比，2019年的框架漏洞总量下降，但武器化率升至8.5%，而 NVD 在同一时期的平均武器化率为其一半不到 (3.9%)。这种增长主要是因为 Ruby on Rails、WordPress 和 Java 中的武器化率增长导致的。

(3)  输入验证取代 XSS 成“弱点之王”

虽然 XSS 问题是这10年间最常见的漏洞，但在过去5年中跌至第5位。这表明框架在这个重要领域已经取得进展。同时，输入验证成为最大的框架安全风险，占过去5年中所有被武器化漏洞的24%，主要影响 Apache Struts、WordPress 和 Drupal。

总体而言，27.7%的 WordPress 漏洞被武器化；Apache Struts 被武器化的漏洞数量排第三，不过它的总体漏洞武器化率在所有框架中是最高的之一，共有38.6%的 Struts 漏洞遭武器化。

SaltStack公司的产品管理负责人 Mehul Revankar 表示，Apache Struts 是武器化率最高的应用框架之一是有道理的。它是当代很多 web 应用的关键依赖关系，目前难以知晓某款应用是否使用该框架。

(4)  注入弱点被高度武器化

虽然和 SQL 注入、代码注入和多种命令注入相关的漏洞仍然非常罕见，但其中一些漏洞的武器化率最高，常常超过50%。事实上，前三大武器化率最高的弱点是命令注入（60%）、OS命令注入（50%）和代码注入（39%）。这使得它们成为攻击者追逐的“座上客”。

(5)  JavaScript 和 Python 框架的武器化率最低

例如，2019年，基于 JavaScript 的 Node.js 中的漏洞数量要大大低于其它 JavaScript 框架，共有56个漏洞但被武器化的只有1个。同样，Django 共有66个漏洞但被武器化的只有1个。

nVisium 公司的首席执行官 Jack Mannino 表示，“十年来，web 应用漏洞已成为越来越成熟的攻击向量。WordPress 和 Apache Struts 实现因过时的插件和库版本而备受诟病。由于在很长时间这些系统仍未被修复更新，因此它们被暴露的几率较高。这些科技的现成利用遍布攻击者工具集，而未来仍将如此。”

https://threatpost.com/wordpress-apache-struts-most-bug-exploits/153927/

https://risksense.com/press_release/risksense-spotlight-report-finds-wordpress-and-apache-are-most-weaponized-web-and-application-frameworks/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。