常见的弱点枚举

公开报道的web应用程序漏洞的数量急剧上升,已经超过缓冲区溢出的地步。这可能是由于易于检测和开发web漏洞,结合扩散低级软件由没有经验的开发人员编写的应用程序。在2005年和2006年,跨站点脚本(XSS)是1号,2号和SQL注入。

PHP远程文件包含(RFI)在2006年飙升至3号,几乎比上年增加了1000%。因为RFI允许一个脆弱的服务器上执行任意代码,这是一个令人担忧的趋势,虽然经常适当的配置足以消除它。这一趋势很可能反映了RFI在创建僵尸网络使用web服务器的角色(感染)。

缓冲区溢位仍然是头号问题报道的操作系统(OS)供应商报告。这类XSS仍然很高,在2005年和2006年的3号,虽然其他web应用程序漏洞出现次数少得多了。

整数溢出,几乎在前十名整体在过去的几年中,为操作系统供应商报告,2号缓冲区溢出。这可能表明专家研究兴趣高调的软件。

有明显的差异类型的漏洞被报道在开启和关闭源操作系统供应商报告。这些值得进一步调查,因为它们可能反映了重要发展的差异,研究,和信息披露实践。

数据是不确定的关于是否有一个具体的改善总体软件安全。虽然有新的漏洞类,和增加多样性的漏洞类型,旧类的原始数据没有明显改变。在这一领域还需要进一步调查。

2006年的统计数据覆盖整个年。

一个重要的统计与CSRF报道;参见表1分析。

PHP远程文件包含整体(RFI) # 4, # 5,更接近于SQL注入比最初报道的2006年。RFI的链接到web服务器僵尸网络中提到“总结的结果”和“总体趋势”部分。

完整的报告与10月小统计差异报告关于总数量的cf,由于(a)偶然添加id的老问题发生在2006年底,或(b)切除一些id,因为他们重复或后来被证明是虚假的报告。事件都是相对常见的任何漏洞信息存储库,旨在维护历史准确性。

不安全的存储在web文档根(webroot)是2006年的10号,而不是13。

最基本的数据操作对这些漏洞是非常简单的执行,例如,”“对SQL注入和“<脚本>警报(“嗨”)为XSS > < /脚本。这使它容易开始研究人员快速测试大量的软件。

有大量的免费的web应用程序。大部分的代码是α或β,经验不足的程序员写的与易学易懂的语言(如PHP、和分布在高流量的网站。应用程序可能有一个小的或不存在的用户基础。这些软件往往充斥着填充漏洞,它通常是一个目标开始研究。大量的这些“fish-in-a-barrel”应用程序可能是一个主要贡献者的总体趋势。

XSS,每个输入都有潜力成为攻击向量,与其他漏洞类型没有发生。这让更多的机会——一个错误发生在一个程序,否则防止XSS。SQL注入也有许多潜在的攻击向量。

尽管民意XSS很容易避免,它有许多微妙之处和变异。甚至固体应用程序可以有缺陷;考虑非标准浏览器的行为,尝试“修复”畸形的HTML,这可能通过一个过滤器使用正则表达式。最后,直到2006年初,PHP解释器有漏洞,没有引用错误消息,但是许多研究人员只报道了表面上的“合成”XSS而不是找出是否存在不同的“主要”漏洞导致的错误。

有证据表明,在过去的几年中,web defacers已经执行和发布自己的研究感兴趣。这可能是由于易于找到漏洞,加上高风险的存在问题,如PHP文件包含,可用于远程安装强大,容易获得的秘密代码。根据客户职位众多供应商论坛,有确凿的证据,远程文件包含经常用来妥协的web服务器,这也有助于解释它的受欢迎程度。

PHP远程文件包含2006年飙升近1000%。这是最有可能反映了RFI在创建僵尸网络使用web服务器的角色(感染)。

2006年五大漏洞类型是负责所有cf的57%。超过35本报告中使用漏洞类型,和几十个目前在CWE标识,这说明大多数公共报告只集中在少数漏洞类型。

跨站请求伪造(CSRF)仍然是一个“沉睡的巨人”(格罗斯曼)。CVE CSRF似乎很少,不到2006年的0.1%,但其真正的患病率可能比这个更大的。这是形成鲜明对比结果发现web应用程序安全专家包括耶利米格罗斯曼,RSnake,安德鲁·范德股票和杰夫·威廉姆斯。这些研究人员经常发现CSRF合同工作期间,指出目前不容易自动检测。缺乏CSRF的CVE表明费合同人员不是简单地调查这个问题。如果(时),研究人员开始关注这个问题,可能会有显著增加CSRF报告。

多年来,已经有了明显的下降shell元字符,符号链接,和目录遍历。目前尚不清楚软件实际上是改善这些问题,或如果不调查频繁。

定期信息泄漏出现。突出:有两个主要原因的信息泄漏是一个更一般的类比其他人更精确的子类别(见CWE),当一个错误消息包含一个完整路径,通常归类为一个信息泄漏,尽管它可能会从一个单独的合成主要弱点。

无法处理畸形的输入(dos-malform),这通常会导致崩溃或挂起,也是一个通用类。Malformed-input漏洞尚未研究密切注入漏洞,至少对识别问题的根源。同时,许多报道没有指定如何畸形的一个输入。可能有许多情况下,研究人员意外引发更严重的漏洞,但不执行足够的诊断来确定主要的问题。最后,供应商报告可能只识别相关的一个问题是“畸形的输入,这掩盖了主要原因。

缓冲区溢出的比例已经下降,已增加相关漏洞类型,包括整数溢出(int-overflow) signedness错误,和双释放(双重释放)。这些仍然非常低,大概是因为他们的相对新奇和难以检测相比,经典的溢出。此外,这些新兴可能被贴上缓冲区溢出漏洞类型,因为他们往往会导致缓冲区溢出,和“缓冲区溢出”术语交替使用攻击,原因,和效果。

其他有趣的web应用程序漏洞webroot(存储web文档根目录)下的敏感文件、表单字段(web参数篡改),上传的文件和可执行文件的扩展(例如,file.php.gif), eval注入,跨站点请求伪造(CSRF)。

整数溢出大量操作系统供应商报告中表示,2006年增长2号,即使他们代表漏洞整体的不到5%。这可能反映了专家越来越感兴趣的研究人员发现整数溢出,以及专家研究人员评估广泛部署软件的趋势。受影响的软件范围广泛,包括内核、加密模块和多媒体文件处理器如形象观众和音乐播放器。2004年以后,许多报道的问题发生在图书馆或常见的dll。

缓冲区溢位仍然是# 1。这可能是由于web应用程序在操作系统报告中所占比例较小,相对于其他的cf。此外,整数溢出等相关问题的增加,他们可能发现或报告为缓冲区溢出,因为从整数溢出缓冲区溢位经常合成。

XSS仍然很常见,即使在操作系统报告,似乎在2006年几乎相同的频率整数溢出。一个非正式的分析表明,影响软件包括web服务器、web浏览器、电子邮件客户端,管理接口和Wiki / CMS。

除了XSS,之间有一个宽阔的海湾与web相关的漏洞在操作系统报告和其他问题。SQL注入是操作系统报告7号,和PHP远程文件包含实际上是不存在的。许多其他的web漏洞占据图表的底部。SQL注入,可能大多数OS-supported应用程序不使用数据库,或没有web可访问。SQL注入漏洞不是网络自身,但是看起来他们很少报道对于非web应用程序,这可能反映了一些研究者的偏见。

目录遍历和格式字符串漏洞频繁报道以更高的速度比其他地方操作系统供应商报告。原因尚不清楚,因为这些漏洞并不局限于本地攻击向量,因此,有人可能会认为他们也经常出现在web应用程序。然而,很可能人员不关注格式字符串,因为他们很少有可利用的代码执行的其他语言c . PHP,许多PHP函数受到远程文件包含和目录遍历,也许,只有文件包含公开报道。(事实上,重叠是如此之近,这有时会导致困难分类)。

2006年到目前为止,超过四分之一的操作系统供应商报告没有足够的细节来分类脆弱性(类型“unk”),为26.8%。这是在非os问题形成强烈的反差,这占不到8%。然而,因为数据集的问题,非os cf将包括许多non-coordinated披露,就其本质而言,提供更多的细节。表4表明,不仅仅是闭源供应商报告,省略足够细节漏洞分类。

“五大”和“十大”漏洞在每年总额的比例小得多的漏洞比非OS操作系统供应商报告问题。例如,5 2006年最常见的漏洞操作系统供应商问题的占30.2%,但65.3%的非OS。操作系统问题,这表明越来越多样性的各种漏洞报告,而对于其他的问题,这种多样性似乎正在减少。这也反映在“其他”类别,在哪个操作系统供应商有一个更大的比例比2006年非OS“其他”问题。然而,这可能是另一个反映主流的web应用程序的漏洞。

的比例“未知”的漏洞——那些无法分类由于缺乏细节,闭源的显著高于开源报告,在2006年达到43%,而只有8%的开源的。如此大的差异,很难知道是否有剩余的结果在这一节中是重要的。

缓冲区溢出是1号打开和关闭,每年大致相同的比例,除了2004年。

符号链接漏洞以更高的速度出现在开源比闭源,尽管这可能是由于在数据集。非Unix操作系统,Windows“快捷键”(.LNK),类似于Unix链接,他们很少出现在微软警告,或基于Windows的应用程序。目前尚不清楚这是由于在研究当中或API /发展差异。作者回忆,至少Linux发行版的一个研究员定期调查符号链接问题在2004年和2005年,所以研究者偏见可能也是一个因素。

格式字符串漏洞更频繁地出现在开源的。可能有几个因素。首先,易感API库调用printf()很容易发现等源代码使用原始的方法,而二进制逆向工程技术并不是由许多研究者对符号链接(这也可能是一个解释问题)。第二,许多格式字符串问题似乎发生在rarely-triggered错误条件,这使得他们更难使用黑盒测试方法。

也许最令人惊讶的:在2006年,非unix闭源报告几乎覆盖任何格式字符串。目前尚不清楚为什么会有这样一个激进的区别。

Malformed-input漏洞通常更频繁地出现在闭源报告比开源的,除了2006年。这一历史趋势可能是由于缺乏细节闭源报告。如果一个顾问提到一个问题,由于“畸形的数据,”这可能是分配dos-malform类型。另一个因素可能是由于黑盒技术。似乎fuzz工具和其他工具将使用更频繁地对闭源比开源产品,但这是不知道。第三个因素可能是修改CVE的数据输入程序,最终开始进入“未知”缺陷类型模糊的术语如“内存泄露”。

XSS漏洞更频繁地出现在开源比关闭警告,但这可能反映了厂商发布的政策建议。看来开源供应商更容易释放报告对于较小的包。

整数溢出大致相同的排名已经开启和关闭源。这是一个奇怪的相似,因为一个可能不希望开启和关闭源分析技术同样能够找到这些问题。

另一个有趣的例子是违约或硬编码的使用密码。多年来,很少有开源供应商报告提到的默认密码,而他们在闭源报告出现了一些规律,即使是在前10名早在2005年。目前尚不清楚这是一个区别在航运/配置实践或供应商披露政策。

在2006年10月的分析,发现,在非unix shell元字符问题出现的频率更低比其他闭源报告闭源。这个结果验证了利用最新的数据;这不是明显在表4。这可能是由于API函数的使用模式,比如Windows, CreateProcess()和系统(Unix)。这个结果是被报告,因为它是最具体的例子的API函数如何扮演一个角色在实现级漏洞。

漏洞类型可以绑定到其他CVE-normalized数据,如id、事件数据库,或漏洞扫描结果。这可能确定的类型正在积极利用的漏洞或发现在实际的企业。

更精确的分类信息。大约有15%的cf漏洞类型不能被描述使用当前的分类方案。另外10%的未知漏洞的披露没有足够的细节来确定任何漏洞类型,但是这个问题是不可避免的,因为有些供应商不释放这些细节。

原油的研究员多样性可能通过链接数据其他漏洞数据库,记录这些信息。这可能是用于确定原始研究人员的数量增加(可能),这个速度是如何增加的数量相对于漏洞(未知),和有多少不同的错误类型发现平均研究员(可能是相当小的)。如果这些数据是可用的,那么进一步分解可以执行基于专业研究人员与他人。

更精确的数据集可以被识别,如各产品类别的市场领导者,不仅操作系统供应商报告。CVE不记录这种类型的信息。

你为什么不提供原始数据的开放与封闭源码?

答:我们已经说过原因。看到第二款表4分析的提醒,一个显著的“重要”。

你为什么在10月份发布报告草稿,而不必等待完成2006个数据?

答:当斜方提到网络安全的初步结果执行峰会9月13日有很多比我们原本预期的更大的兴趣。我们希望后续讨论的结果可能会帮助我们提供更好的报告在2006年完成。

与其他相比如何总结你过去发布?为什么老年的数字和百分比变化吗?

答:(1)我们偶尔添加cf的老问题,(2)的一些以前发布的总结是累积而不是提供一年一年地崩溃,(3)并最终作为一种新型的漏洞报告更加频繁,CVE项目通知它足以给它一个名称,或者至少一个类型。一旦我们这样做,我们可以回去和更新旧的cf,也有这个问题。然而,我们经常依靠关键词搜索的CVE描述做这些类型的更新。最早的报道新漏洞类型可能得不到充分捕捉,因为CVE描述经常变化在早期或几个月的新漏洞类型。大多数更新这些脆弱性趋势引发非正式评审的“其他”漏洞数据集更新类型字段。

有很多比你所投保的漏洞类型。

答:这是一个观察,而不是一个问题。如果某个漏洞类型是不在名单上,那么它可能没有出现足够频繁CVE项目密切跟踪。有几种原因:(1)漏洞类型从一个大的下拉菜单选择CVE细分的过程中,但也(2)我们的工作共同弱点枚举(CWE)是生产数百vuln类型,我们希望它变得更稳定之前做下一轮修改CVE数据。最后,(3)约4000漏洞标记为“其他”或“未指定”,它的成本是高昂的审查每个CVE组类别时更新。

为什么不是我最喜欢的web漏洞吗?

答:许多web漏洞很难分类,因为它们是多因素,即。,他们是由多个bug,弱点,和/或设计的局限性。其他网络问题只是专门攻击,使用其他的主要弱点。例如,大多数依靠CRLF注入HTTP响应分裂问题,所以他们被归类在CRLF注入。

[Christey]的公开信解释的脆弱性统计”,史蒂夫•Christey Bugtraq、充分揭示1月5日2006年http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041028.html

(系统)的Web服务器僵尸网络和主机农场攻击平台,Gadi系统幼狮Damari &诺姆市议会厅,病毒公告,2007年2月

(格罗斯曼)“CSRF,沉睡的巨人”,格罗斯曼,耶利米http://jeremiahgrossman.blogspot.com/2006/09/csrf-sleeping-giant.html