【情報】 最新Web脆弱性トレンドレポートのEDB-Report(第3四半期)がリリースされました。
2018年7月から9月まで公開されたExploit‐DBの脆弱性報告件数は、87件でした。最も多くの脆弱性が公開された攻撃はSQLインジェクション(SQL Injection)です。特に、Joomla Component, WordPress Pluginから各18個、6個の脆弱性が公開されました。ここで、注目すべき脆弱性は、”Joomla Component”脆弱性で、当脆弱性は、SQLインジェクション(SQL Injection)の修行により、情報漏えいなどの被害を起こします。また,”WordPress Plugin”の脆弱性も注意しなければなりません。当脆弱性もSQL Injectionを含む様々な攻撃が行われました。”All In One Favicon 4.6″ 脆弱性は、遠隔の認証されたユーザがXSS 攻撃により、javascriptコードを実行することができ、XSS 攻撃はウイルス配布、ユーザセッション情報の奪取、CSRF攻撃などの2次、3次被害に繋がる可能性があるので、注意しなければなりません。
当脆弱性を予防するためには、最新パッチやセキュアコーディングがお薦めです。しかし、完璧なセキュアコーディングが不可能なため、持続的なセキュリティのためにはウェブアプリケーションファイアウォールを活用した深層防御(Defense indepth)の具現を考慮しなければなりません。
ペンタセキュリティが四半期ごとに提供しているExploit-DBのWeb脆弱性項目をもとにしたトレンドレポートです。本レポートは、世界的に幅広く参考している脆弱性関連のオプーン情報であるExploit-DBより公開されているWeb脆弱性について、ペンタセキュリティのR&Dセンターのデータセキュリティチームの専門的知識と経験を活かし作成されています。
EDB-Reportは、各脆弱性を対象とし危険度および影響度を分析し、特定のWebアプリケーションにおけるDependency(依存度)まで提示しているため、専門的知識を持っていない一般のお客様でも脆弱性のトレンド情報を理解することができます。