【情報】 最新Web脆弱性トレンドレポートのEDB-Report(第4四半期)がリリースされました。
2018年10月から12月まで公開されたExploit‐DBの脆弱性報告件数は、188件でした。最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。また、多数の脆弱性が公開されたソフトウェアは、DomainMOD、Webiness Inventoryで、各7個、3個の脆弱性が公開されました。その中で最も多い脆弱性が公開されたDomainMODソフトウェアで修行された攻撃はクロスサイトスクリプティング(Cross-Site Scripting)で、この攻撃はユーザに意図しない攻撃を修行させたり、クッキーやセッショントークンなどの敏感な情報を奪取することが可能です。特に公開されたDomainMODでは、Assets/add/registar accounts.php ファイルやUser/Profile/Display Nameなどの同じFieldを利用した脆弱性が発見されました。クロスサイトスクリプティング(Cross-Site Scripting)攻撃は、ウイルスの配布、ユーザセッション情報の奪取、CSRF攻撃などの2次、3次被害に繋がる可能性があるので、注意が必要です。
当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。
ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。
EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。