Clear
Lead Graphic Papers

ข่าวสั้น

สถิติช่องโหว่ web application ปี 2018 ช่องโหว่ประเภท injection พบมากสุด WordPress มีช่องโหว่เยอะที่สุด

บริษัท Imperva ผู้พัฒนาระบบ web application firewall ได้เผยแพร่รายงานสถิติช่องโหว่ของ web application ในปี 2018 โดยภาพรวมพบว่าช่องโหว่ประเภท injection เพิ่มขึ้นสูง ในขณะที่ช่องโหว่ของ CMS ที่ได้รับความนิยมอย่าง WordPress หรือ Drupal ก็ยังมีการรายงานออกมาอย่างต่อเนื่อง แต่จำนวนช่องโหว่ของอุปกรณ์ IoT เริ่มลดลง

จำนวนช่องโหว่ web application ในปี 2018 เพิ่มขึ้น 21% จากปีก่อนหน้า โดยช่องโหว่เกินครึ่ง (54%) มีการเผยแพร่โค้ดสำหรับใช้โจมตี (exploit) ออกสู่สาธารณะ ในขณะที่ช่องโหว่ 38% นั้นยังไม่มีวิธีแก้ไข ไม่ว่าจะเป็นการแพตช์หรือวิธีแก้ไขปัญหาแบบชั่วคราว (workaround)

เมื่อเปรียบเทียบจำนวนช่องโหว่กับรายการ OWASP TOP 10 2017 พบว่าช่องโหว่ประเภท injection นั้นมีสัดส่วนมากที่สุดคือ 19% โดยช่องโหว่ประเภท remote command execution (RCE) นั้นมีมากกว่าประเภท SQL injection ส่วนช่องโหว่อันดับสองคือ cross-site scripting ซึ่งมีสัดส่วนอยู่ที่ 14%

สถิติ CMS ที่มีจำนวนช่องโหว่เยอะที่สุดคือ WordPress รองลงมาคือ Joomla, Drupal และ Magento ตามลำดับ ข้อมูลที่น่าสนใจคือช่องโหว่ 98% ของ WordPress นั้นอยู่ในส่วนของ Plugin แทนที่จะเป็นส่วน core ของระบบ ในขณะที Drupal ถึงแม้จะมีจำนวนผู้ใช้และจำนวนช่องโหว่น้อยกว่า WordPress แต่ก็มีช่องโหว่ระดับความร้ายแรงสูงที่ส่งผลให้ผู้ประสงค์ร้ายสามารถยึดเว็บไซต์และเข้าถึงระบบฐานข้อมูลได้ ซึ่งเป็นสาเหตุที่ทำให้เว็บไซต์จำนวนมากถูกเจาะระบบในปี 2018

ทาง Imperva ได้คาดการณ์ความเป็นไปได้ในปี 2019 โดยประเมินว่าเมื่อ PHP เวอร์ชัน 5.6 และ 7.0 หมดระยะเวลาการสนับสนุนทางเทคนิค (สิ้นสุดตั้งแต่เดือนธันวาคม 2018) แต่เว็บไซต์จำนวนมากยังคงมีการใช้งานซอฟต์แวร์เวอร์ชันเก่าอยู่ หากมีช่องโหว่ด้านความมั่นคงปลอดภัย เว็บไซต์เหล่านี้จะถูกโจมตีได้ง่าย

วันที่: 2019-01-11 | ที่มา: Imperva | Share on Facebook Share on Twitter Share on Google+

Clear