Web應(yīng)用程序安全公司Netsparker使用他們的自動化安全掃描工具，對396 個Web應(yīng)用程序進(jìn)行了掃描，發(fā)現(xiàn)了269個安全漏洞，其中最多的漏洞是跨站點腳本（XSS）和SQL注入（SQLI）漏洞，占到全部漏洞數(shù)量的87%，其中甚至還有多個零日漏洞。

對每個漏洞類別細(xì)分，研究人員發(fā)現(xiàn)了180個 XSS漏洞，如反射XSS，存儲XSS等等，占到全部漏洞的67%， XSS漏洞占掃描發(fā)現(xiàn)所有安全漏洞的67％；其次是SQL注入漏洞，數(shù)量有55個，占到全部漏洞數(shù)量20%。第三名是遠(yuǎn)程和本地文件包含漏洞，數(shù)量有16 個，包括跨站請求偽造（CSRF），遠(yuǎn)程命令執(zhí)行（RCE）命令注入，打開重定向，HTTP頭注入和框架注入等漏洞。

這次掃描還統(tǒng)計了開源應(yīng)用程序使用的編程語言種類，其中大多數(shù)使用PHP編程，有326個，其次使用ASP / ASP.NET進(jìn)行編程，有31個。其他39應(yīng)用程序使用超過10種不同技術(shù)組合構(gòu)建。軟件開發(fā)環(huán)境如此多樣化，也是導(dǎo)致大量安全漏洞的原因之一。

====================================分割線================================
文章轉(zhuǎn)載自 開源中國社區(qū)[http://www.oschina.net]

總結(jié)

以上是生活随笔為你收集整理的开源 Web 应用最常见漏洞是 XSS 和 SQLI 漏洞的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。