最新web脆弱性解析レポート
2018年第4四半期
2018年10月から12月まで公開されたExploit‐DBの脆弱性報告件数は、188件でした。
最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。また、多数の脆弱性が公開されたソフトウェアは、DomainMOD、Webiness Inventoryで、各7個、3個の脆弱性が公開されました。その中で最も多い脆弱性が公開されたDomainMODソフトウェアで修行された攻撃はクロスサイトスクリプティング(Cross-Site Scripting)で、この攻撃はユーザに意図しない攻撃を修行させたり、クッキーやセッショントークンなどの敏感な情報を奪取することが可能です。特に公開されたDomainMODでは、Assets/add/registar accounts.php ファイルやUser/Profile/Display Nameなどの同じFieldを利用した脆弱性が発見されました。クロスサイトスクリプティング(Cross-Site Scripting)攻撃は、ウイルスの配布、ユーザセッション情報の奪取、CSRF攻撃などの2次、3次被害に繋がる可能性があるので、注意が必要です。
当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。
2.詳細
(1)月脆弱性件数
(2)脆弱性別件数
- SQL Injection : 114件
- Cross-Site Scripting :39件
- File Upload:27件
- Directory Traversal:3件
- Remote Code Execution:2件
- Command Injection:1件
- Stealth Commanding:1件
- Authentication Bypass:1件
- 合計:188件
(3)攻撃危険度および難易度別件数
- 危険度別件数
危険度 件数 割合 早急対応要 6 3.19% 高 27 14.36% 中 155 82.45% 合計 188 100.00%
- 難易度別件数
難易度 件数 割合 難 3 1.60% 中 35 18.62% 易 150 79.79% 合計 188 100.00%
*ソフトウェア別脆弱性発生件数および各攻撃に関する詳細情報は、下のリンクからご確認できます。
≫≫≫ Download :
2018年第4四半期月Web脆弱性レポート(PDF/1MB)
各種レポートのダウンロードはこちら≫