2011年公開報(bào)道的新的安全漏洞的數(shù)量下降了20%，但一項(xiàng)由惠普公司進(jìn)行的關(guān)于自定義Web應(yīng)用程序的分析顯示，自定義Web應(yīng)用程序容易產(chǎn)生各種常見的編碼錯(cuò)誤。

惠普警告安全專業(yè)人士，不要因?yàn)楣_報(bào)道上整體漏洞的減少而對(duì)安全產(chǎn)生錯(cuò)誤的感覺。根據(jù)2011年惠普網(wǎng)絡(luò)安全風(fēng)險(xiǎn)報(bào)告(HP2011CyberSecurityRisksReport)，漏洞數(shù)量的下降可以歸因于多種因素，包括軟件安全方面的改進(jìn)和不斷變化的漏洞信息披露趨勢(shì)，后者可能會(huì)造成相當(dāng)數(shù)量的漏洞未統(tǒng)計(jì)。該報(bào)告于上周發(fā)布，對(duì)來(lái)自開源漏洞數(shù)據(jù)庫(kù)(OpenSourceVulnerabilityDatabase，OSVDB)、惠普DVLabs的零日計(jì)劃和惠普Fortify的網(wǎng)絡(luò)安全研究人員的數(shù)據(jù)進(jìn)行了詳細(xì)的分析。

盡管2006年以來(lái)，在商業(yè)上可用的網(wǎng)絡(luò)應(yīng)用程序的漏洞數(shù)量一直在下降，但由惠普Fortify部門進(jìn)行的、關(guān)于超過359個(gè)獨(dú)特的自定義Web應(yīng)用程序的審查，卻向我們展示了不同的一面。分析發(fā)現(xiàn)，許多自定義的Web應(yīng)用程序中蔓延著常見的編碼錯(cuò)誤，這使它們?nèi)菀壮霈F(xiàn)跨站點(diǎn)腳本和SQL注入攻擊。

對(duì)自定義的Web應(yīng)用程序進(jìn)行靜態(tài)分析后發(fā)現(xiàn)，超過一半的應(yīng)用程序在跨站點(diǎn)腳本方面是非常脆弱的，且86%的程序都很難抵御注入漏洞。自定義應(yīng)用程序也容易受到不安全的直接對(duì)象引用漏洞，且?guī)缀跛鼈兌既菀自庥鲂畔⑿孤┖湾e(cuò)誤處理不當(dāng)。動(dòng)態(tài)分析(即通過執(zhí)行實(shí)時(shí)數(shù)據(jù)來(lái)評(píng)估程序)發(fā)現(xiàn)，66%以上的程序易受不安全通信的漏洞影響。“99%的黑客攻擊是為了進(jìn)行信息收集，所以這并非是微不足道。”報(bào)告中寫道。

惠普稱，數(shù)據(jù)顯示，自定義Web應(yīng)用程序的編碼錯(cuò)誤是非常普遍的，攻擊者們?cè)絹?lái)越多的以它們?yōu)楣裟繕?biāo)。從2010年至2011年，Web應(yīng)用攻擊增長(zhǎng)了近50%。觀察到的總攻擊的13%是由TippingPointIPS的客戶和蜜罐組成的，它們過去是為趨勢(shì)分析和新興威脅檢測(cè)捕捉新漏洞的?；萜瞻l(fā)現(xiàn)許多攻擊是由黑洞漏洞工具包(BlackHoleExploitKit)驅(qū)動(dòng)的，它是一個(gè)自動(dòng)攻擊工具包，因傳播宙斯，Cutwail，Spyeye，和Carberp僵尸而出名。

“任何規(guī)模級(jí)別的企業(yè)仍面臨著基本安全錯(cuò)誤問題，如信息泄漏和不安全的通信”，報(bào)告中寫道，“應(yīng)采取措施，以確保應(yīng)用程序中沒有那些潛在的對(duì)攻擊者而言重要的資料。最終的解決方案應(yīng)是將安全嵌入在發(fā)展過程中，而不是做表面功夫。”

該報(bào)告調(diào)查發(fā)現(xiàn)，在部署補(bǔ)丁程序方面，或?yàn)榉乐箞?zhí)行跨站點(diǎn)腳本攻擊而支持內(nèi)置到微軟InternetExplorer8中的新的瀏覽器安全功能方面，網(wǎng)站管理員們是失敗的。

在2011年披露的十大商業(yè)漏洞名單上，AdobeShockwave位列第一。接下來(lái)的是蘋果QuickTime錯(cuò)誤，HPDataProtector缺陷和甲骨文的Java漏洞。這些信息來(lái)源于HPDVLabs零日計(jì)劃，該計(jì)劃的內(nèi)容是從安全研究人員那里購(gòu)買漏洞信息，然后再免費(fèi)的將信息提供給受影響的廠商。而RealNetworks公司的RealPlayer，Adobe公司的Reader，微軟的IE，微軟OfficeNovelliPrint和惠普OpenView錯(cuò)誤“填補(bǔ)”了ZDI商用產(chǎn)品十大漏洞名單上的其余空位。