吳明宜
10 個 Web 應用程式中被偵測出有弱點,可能導致機密資訊外洩的就將近 9 個。
Cenzic 周一發佈的《Web 應用安全趨勢報告 Q1-Q2, 2009》指出,今年上半年該研究檢測到 3,100 多個弱點,比去年下半多了超過 10% 。
在所有弱點中,有 78% 是 Web 應用弱點,比去年下半低,但比去年上半高。 SANS Institute9 月發佈的報告《網路安全最高風險》發現,超過 60% 的網路攻擊是衝著 Web 應用而來。
而 Cenzic 報告指出,90% 的 Web 應用弱點是在商業類 Web 應用,8% 存在於執行 Web 應用的瀏覽器中。
受十大安全弱點影響的軟體廠商包括 PHP 、 SAP 、 Sun 、 Citrix 、 Apache 、 F5 Networks 、 Symentec 和 IBM 等等。
Cenzic 表示 SQL Injection 和跨網站指令碼 (Cross site scripting) 分別佔了所有網路攻擊的 25% 和 17% 。
Cenzic 的報告指出,分析的 Web 應用中,87%「包含重大弱點可能導致機密或敏感使用者資料在交易過程中暴露出來。」
2008 年下半的數字則是 78% 。
瀏覽器弱點方面,Firefox 和 Safari 最多,而 Google Chorme 則明顯少很多。
「Mozilla Firefox 比重最高,佔 44%,而令人訝異的是,Safari 比例也攀高到 35%,原因在於 iPhone Safari 弱點太多。 IE 排名第三,佔 15%,Opera 則佔 6% 。」
近年來 Mozilla Firefox 的弱點比重已超過 IE,但 Firefox 的瑕疵也修補得較 IE 快。因此 Mozilla 陣營強調使用者暴露的天數比弱點多寡更能代表安全等級。
Firefox 團隊成員也聲稱 Firefox 和 IE 安全性很難比較,因為 Mozilla 安全流程是開放的,但微軟是封閉式的。
Mozilla 的 Jonathan Nightingale 在 email 中說了這麼一段話:「Cenzic 報告是以臭蟲的數目來衡量安全性,我們要說這是極有問題的標準。我們最近看到微軟也在關心這個問題,它們的 Steve Lipner 提及不要以臭蟲數量來衡量微軟 SDL 的一番話,值得深思。」
微軟並沒有立即回應。該公司曾說,其安全開發生命周期是該公司弱點數減少主因。