最新web脆弱性解析レポート
2018年第3四半期
2018年7月から9月まで公開されたExploit‐DBの脆弱性報告件数は、87件でした。最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、Joomla Component, WordPress Pluginから各18個、6個の脆弱性が公開されました。ここで、注目すべき脆弱性は、"Joomla Component"脆弱性で、当脆弱性は、SQLインジェクション(SQL Injection)の修行により、情報漏えいなどの被害を起こします。また,"WordPress Plugin"の脆弱性も注意しなければなりません。当脆弱性もSQL Injectionを含む様々な攻撃が行われました。"All In One Favicon 4.6" 脆弱性は、遠隔の認証されたユーザがXSS 攻撃により、javascriptコードを実行することができ、XSS 攻撃はウイルス配布、ユーザセッション情報の奪取、CSRF攻撃などの2次、3次被害に繋がる可能性があるので、注意しなければなりません。
当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。
2.詳細
(1)過去3か月脆弱性件数
(2)脆弱性別件数
- Local File Disclosure : 1件
- Server Side Request Forgery :1件
- Authentication Bypass:1件
- CSRF:1件
- Information Disclosure:2件
- Local File Inclusion:2件
- File Up/Download:3件
- Other Injection:4件
- Remote Code Execution:6件
- Directory Traversal:11件
- XSS:17件
- SQL Injection:38件
- 合計:87件
(3)攻撃危険度および難易度別件数
- 危険度別件数
危険度 件数 割合 早急対応要 9 10.34% 高 66 75.86% 中 12 13.79% 合計 87 100.00%
- 難易度別件数
難易度 件数 割合 難 4 4.60% 中 43 49.43% 易 40 45.98% 合計 87 100.00%
*ソフトウェア別脆弱性発生件数および各攻撃に関する詳細情報は、下のリンクからご確認できます。
≫≫≫ Download :
2018年第3四半期月Web脆弱性レポート(PDF/1MB)
各種レポートのダウンロードはこちら≫