最近的一项研究发现,
在调查的31个流行库(框架)的1261个版本中,超过三分之一存在已知的安全漏洞,大约四分之一的下载文件已经被污染。
该项研究由Aspect Security和Sonatype发起。Aspect Security是一家评估软件安全漏洞的公司,Sonatype主要提供中央资源库(Central Repository),托管了超过30万个库和开源组件,每年有超过40亿次请求。
Aspect公司的研究人员分析了在过去12个月内,从Central Repository中下载的31个流行的Java框架和安全库,并发现:
- 所有的下载中,有1980万次下载的版本存在已知漏洞,占26%。
- 下载次数最多的、存在已知漏洞的库是Google Web Toolkit(GWT)、Apache Xerces、Spring MVC和Struts 1.x。
研究发现,
在开源代码库中发现的漏洞类型非常广泛,一些漏洞允许攻击者完全接管主机,一些可能会导致数据丢失或损坏,还有一些可能会向攻击者提供有用的信息。
研究人员称,安全性库比框架更有可能存在已知漏洞,现在的应用程序通常使用30个或更多的库,这可能危及到应用程序中80%的代码。
在大多数情况下,漏洞的影响在很大程度上取决于应用程序如何使用这些库。
研究人员列出了一些广为流传的已知漏洞:
- 在过去一年中,Spring被超过4.3万个组织下载了1800万次,但是去年的一个发现显示,Spring表达式语言中有一个新型的漏洞,攻击者可以通过HTTP参数提交来利用该漏洞,并获得敏感的系统数据、应用程序和用户cookies。
- 2010年,谷歌的研究团队发现了Struts2中一个漏洞,该漏洞允许攻击者在所有基于Struts2的应用程序中执行任意代码。
- Apache CXF(Web服务框架)在过去一年内被超过1.6万个组织下载了420万次,从2010年该框架中就存在两个大的漏洞(CVE-2010-2076和CVE 2012-0803),允许攻击者欺骗任何使用CXF的服务,下载任意的系统文件,并绕过验证。
研究人员称,目前开发者还没有好的方法来得知他们正使用的库中存在的已知漏洞,他们必须随时检查几十个邮件列表、博客、论坛,此外,开发团队也不太可能去寻找这些开源库中的漏洞,因为这需要大量的安全方面的经验,在分析这些库时自动化工具基本上用处不大。
Aspect公司CEO称,使用开源库也存在“依赖管理”的问题,开发者需要确定他们的项目中真正直接依赖的库。
通常情况下,开发者会在一些非必需的功能中使用库,而这些库还可能依赖于其他库,显然这带来了大量过时的代码,增加了安全风险,同时增大了应用程序的规模。
要想避免或降低这些风险,就需要找出在项目中使用的库,确定哪些已经过时。Aspect公司建议尽量少使用库。
分享到:
相关推荐
食品安全问题之九:警惕:吃水煮鱼五大隐患.ppt
警惕“智能系统”带来的安全隐患.pdf
前端开源库-pliers钳子,一种结实的、警惕型工具
2019年房地产半年报:稳中有压,警惕“新库存”-贝壳研究院-201906.pdf
警惕网络陷阱提高网络安全意识.ppt该文档详细且完整,值得借鉴下载使用,欢迎下载使用,有问题可以第一时间联系作者~
警惕人工智能技术发展带来的网络安全威胁.pdf
交通安全宣传标语:警惕保安全,麻痹起祸端.docx
种类繁多和开源的操作系统为移动互联网安全 带来了更多的问题和隐患。近两年来手机安全领域的问题已经日趋复杂,各类手机病毒 爆炸式增长。APP大肆窃取个人隐私,钓鱼和欺诈事件频发,针对手机支付的恶意程序大 量...
郭孔辉 警惕车联网的安全风险.pdf
警惕SQL安全 做好数据备份.pdf
安全来自警惕 事故出于麻痹.docx
事故出自麻痹 安全源于警惕.docx
连续高温隐患已初现,八九月份对虾养殖户仍不可放松警惕.doc
上厕所撞残 警惕孩子校园安全.docx
安全来自警惕事故出于麻痹.docx
疫情下的中国经济安全形势:必须警惕防控四大风险.pdf
安全来自长期警惕 事故源于瞬间麻痹.docx
二、网络中的安全隐患: 因特网功能强大、方便实用,但同时也给一些坏人以可乘之机。 危害网络安全的恶意行为,有以下几种: 1、计算机病毒。 2、黑客入侵。 3、网络陷阱。 三、网络安全防范措施: 阻止网络恶意...
安全来自长期警惕 事故源于瞬间麻痹.doc