【情報】 最新Web脆弱性トレンドレポートのEDB-Report(10月)がリリースされました。
2017年10月に公開されたExploit-DBの脆弱性報告件数は、総67件であり、その中でSQLインジェクションが51件で最も多い件数で発見されました。10月の攻撃の中で最も危険度の高い攻撃は、コマンド・インジェクション(Command Injection)攻撃でした。コマンド・インジェクション(Command Injection)攻撃は、意図しないシステムコマンドを実行することができる攻撃で、今月に公開された攻撃は主に1)multipart/form-dataを活用した方式、2)JSON形式でコマンドを挿入する方式、3)コマンドをbase64とhashで変調する方式、4)コマンドが挿入されたxmlファイルを参考する方式などがありました。該当脆弱性を予防し、持続的なセキュリティを維持するためにはWebアプリケーションファイアウォールとセキュアコーディング、最新パッチを通じて深層防御(Defense in depth)実装を考慮しなければなりません。
EDB-Reportは、ペンタセキュリティが提供している3種類のセキュリティ情報レポートのうち、毎月発行されるトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性の項目をもとにした解析を提供し、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。
EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。