视频: ä¸è¦å²ç¬æåçæ§ (十月 2024)
瑞士信息安全公司High-Tech Bridge去年通过使雅虎羞于提供不只是一件T恤作为漏洞赏金而发布了这一消息。 不过,HTB研究人员并不是每天都在做这种研究。 他们的主要重点是识别漏洞并发布与发现有关的安全公告。 该小组于2013年发布了62份咨询报告,行业响应能力得到了总体改善。
快速维修
根据HTB刚刚发布的一份报告,供应商针对报告的问题发布补丁程序的速度比2012年要快得多。此外,“绝大多数供应商以公平,迅速的方式提醒最终用户有关漏洞的信息,”过去默默地修补了问题或轻描淡写了风险。 该报告确实指出了Mijosoft(不是Microsoft)的不良安全做法。
修补关键漏洞的平均时间从2012年的17天减少到2013年的11天,显着减少。 中度风险漏洞的表现甚至更好,从29天缩短到13天。 那是进步,但是还有改进的余地。 报告指出,“修补关键漏洞的11天仍然是一个相当长的延迟。”
复杂性增加
根据该报告,对于恶意分子来说,识别和利用关键漏洞变得越来越困难。 他们不得不诉诸于链式攻击之类的技术,其中只有成功突破非关键漏洞 之后, 才有可能利用关键漏洞。
在2013年期间,有相当多的漏洞从高风险或严重风险降级为中等风险。特别是,这些攻击只能在攻击者通过身份验证或登录后才能执行。该报告指出,开发人员甚至仅在区域中也需要考虑安全性可信用户可以访问,因为其中一些可信方“实际上可能非常敌对”。
内部开发人员需要特别注意安全性。 SQL注入和跨站点脚本是最常见的攻击,内部应用程序是此类攻击的最常见受害者,占40%。 其次是内容管理系统(CMS)插件,占30%,其次是小型CMS,占25%。 Joomla和WordPress等真正的大型CMS的违规行为是个大新闻,但根据HTB的说法,它们仅占总数的5%。 许多博客平台和CMS仍然容易受到攻击,原因仅在于它们的所有者无法对其进行全面修补或未能正确配置它们。
因此,如何避免网站或CMS遭到破坏? 该报告的结论是,您需要“将自动测试与人工手动安全测试结合使用时的混合测试”。 得知高科技桥提供了这种测试也就不足为奇了。 但是他们是对的。 为了获得真正的安全,您希望好人发动攻击并向您展示需要解决的问题。
