阿碼外傳-阿碼科技非官方中文 Blog: 2008年9月10日

2008年9月10日

年度網站資安研究報告:跨站腳本攻擊(XSS)又是第一名

WASC 組織日前公布年度網站資安研究報告,受測的 32,717 網站共發現 69,476 個弱點,平均每個受測網站遭發現的弱點高達 13 個,其中判定為嚴重弱點就有 9 個!我們也擔心這麼多受測網站透過工具就被找到如此驚人的弱點數(相對地駭客也可善用他們的自動化工具),網站受駭風險真的需要大家正視。

三萬多個受測網站的平均弱點數(依低中高嚴重程度排列):



其中超過半數的弱點是跨站腳本攻擊(XSS),其次是資訊揭露(Information Leakage)、SQL 注入攻擊(SQL Injection),以及可預期的資源位置(Predictable Resource Location),再次印證具備「簡單好用、防不勝防」特性的跨站腳本攻擊(XSS)真是處處可見。

三萬多個受測網站被黑箱與白箱檢測工具所發現的「弱點類型分佈」:



三萬多個受測網站被"所有"檢測工具所發現的「弱點類型分佈」:




這份報告特別指出有趣的觀察是不同檢測工具有不同的弱點涵蓋率,第一類是全自動的網站弱點掃瞄工具(Automated Vulnerability Scanner)(圖表上的 %Sites(Scans)),第二類是半自動的黑箱檢測工具(Black-box Testing),譬如滲透測試(Penetration Testing),以及第三類是半自動/全自動的白箱檢測工具(White-box Testing),譬如人工或自動源碼檢測(Source Code Analysis)。第二類跟第三類合起來統計於圖表上的 %Sites(Black&WhiteBox)。統計資料顯示 7.72% 的受測網站可被全自動的網站弱點掃瞄工具發現"嚴重"弱點,但輔以黑箱與白箱的檢測工具時,則高達 96.85% 的受測網站會被揪出有嚴重弱點。

下圖的右方長條圖是此次受測網站被黑箱與白箱所發現弱點的涵蓋率:


作者 Dr. Benson Wu 為 阿碼科技 產品經理

繼續閱讀全文...