最新web脆弱性解析レポート
2018年04月号
2018年4月に公開されたExploit‐DBの脆弱性報告件数は、37件でした。この中で最も多くの脆弱性が公開された攻撃は、XSS(クロスサイトスクリプティング)です。特に、HRSALE The Ultimate HRMで3つの脆弱性が公開されました。この中で、注目すべきことは"Z-Blog 1.5.1.1740-Full Path Disclosure"脆弱性です。当脆弱性あるいは類似な脆弱性は、様々な形の../を含めており、特定のWebアプリケーションに該当する特定のパターンを含めています。当脆弱性を予防するためには、最新パッチとセキュアコーディングをおすすめします。しかし、完璧なセキュアコーディングは不可能であり、持続的にセキュリティを維持するためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)実装を考慮しなければなりません。
2.詳細
(1)過去3か月脆弱性件数
(2)脆弱性別件数
- ファイルアップロード(File Upload):1件
- リモートコード実行(Remote Code Execution):4件
- SQL インジェクション(SQL Injection):6件
- ディレクトリトラバーサル(Directory Traversal):7件
- クロスサイトスクリプティング(Cross Site Scripting:XSS):19件
- 合計:37件
(3)攻撃危険度および難易度別件数
- 危険度別件数
危険度 件数 割合 早急対応要 12 32.43% 高 23 62.16% 中 2 5.41% 合計 37 100.00%
- 難易度別件数
難易度 件数 割合 難 1 2.70% 中 11 29.73% 易 25 67.57% 合計 37 100.00%
*ソフトウェア別脆弱性発生件数および各攻撃に関する詳細情報は、下のリンクからご確認できます。
≫≫≫ Download :
各種レポートのダウンロードはこちら≫