最新のWeb脆弱性のトレンドを分かりやすく、Exploit-DBのWeb脆弱性を分析した2020年第1四半期EDB/CVE-Reportをリリースしました。
ペンタセキュリティは、Web脆弱性のトレンド情報を分析した結果を四半期ごとにまとめ、最新Web脆弱性トレンドレポートとして「EDB/CVE-Reprot」を発刊しております。
EDB/CVE-Reportは、世界的に幅広く参考されている脆弱性関連のオープンソース情報サイトであるExploit-DB(http://www.exploit-db.com)から提供されるWeb脆弱性情報に基づき作成されたもので、経験豊富で専門知識を有するペンタセキュリティR&Dセンターのデータセキュリティチームによって作成されました。
各Web脆弱性に対し危険度および影響度を分析するだけではなく、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般の方でもWeb脆弱性のトレンド情報を分かりやすく理解することができます。
2020年1月から3月まで公開されたExploit-DBの脆弱性報告件数は96件でした。 脆弱性の平均件数は32件で、1月には最も多い42件が報告されました。これらのWeb脆弱性に対し、最も多く発生した攻撃パターンはSQL Injection、Cross-Site Scripting、Code Executionの順です。
- SQL Injection: データを公開、破壊、もしくは使用不可能にする攻撃
- Cross-Site Scripting: 特定のWebサイトからブラウザを通じ情報を奪取する攻撃
- Code Execution: 特定のデバイスに対するコードを使いデータを観覧、奪取もしくはファイルとインフラを破壊する攻撃
これらの脆弱性及びそれに対する攻撃を予防するためには、パッチやセキュアコーディングが薦められます。しかし、完璧なセキュアコーディングは不可能であるたえ、持続的なセキュリティ対策に取り組むためには、セキュリティポリシーを策定するとともに、Webアプリケーションファイアウォール(WAF)を活用し、深層防御(Defense Indepth)等の対策を実装することが求められます。
ペンタセキュリティが提供するWAPPLESは独自開発した論理演算検知エンジンを搭載しており、従来のWAFとは違って、これらのWeb脆弱性を遮断する根本的な対応策となります。
2020年第1四半期EDB/CVE-Reportの詳細はこちら