最新web脆弱性解析レポート
2018年第2四半期
2018年4月から6月まで公開されたExploit‐DBの脆弱性報告件数は、167件でした。そして、最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、EasyService Billing, MySQL Blob Uploaderから各5個の脆弱性が公
開されました。ここで、注目すべき脆弱性は、"EasyService Billing"と"MySQL Blob Uploader"脆弱性です。当脆弱性は、SQLインジェクション(SQL Injection)とクロスサイトスクリプティング(Cross‐Site Scripting)が複合的に修行されるMultiple
Vulnerabilitiesです。また、"Z‐Blog 1.5.1.1740 ‐ Full Path Disclosure"脆弱性も注意しなければなりません。当脆弱性または類似した脆弱性の攻撃は多様な形の../を含めており、特定のウェブアプリケーションに開頭する特定のパターンを含めています。
当脆弱性を予防するためには最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなり
ません。
2.詳細
(1)過去3か月脆弱性件数
(2)脆弱性別件数
- SQL インジェクション(SQL Injection):77件
- クロスサイトスクリプティング(Cross Site Scripting:XSS):62件
- ディレクトリトラバーサル(Directory Traversal): 19件
- 遠隔でのコード実行(Remote Code Execution):7件
- ファイルアップロード(File Upload) :2件
- 合計:167件
(3)攻撃危険度および難易度別件数
- 危険度別件数
危険度 件数 割合 早急対応要 45 26.95% 高 90 53.89% 中 32 19.16% 合計 167 100.00%
- 難易度別件数
難易度 件数 割合 難 5 2.99% 中 65 38.92% 易0 97 58.08% 合計 167 100.00%
*ソフトウェア別脆弱性発生件数および各攻撃に関する詳細情報は、下のリンクからご確認できます。
≫≫≫ Download :
2018年第2四半期月Web脆弱性レポート(PDF/1MB)
各種レポートのダウンロードはこちら≫