根据通用漏洞披露(CVE)组织的最新数据,2006年1-9月共发现了4375个各类安全缺陷,已经逼近去年全年的4538个。按漏洞类别看,网络漏洞已经成为头等麻烦,一贯“受宠”的缓冲溢处漏洞则仅列第四。
CVE表示,网络漏洞泛滥的原因有很多,如多数网络缺陷很容易被利用、免费网络程序数量庞大、跨网站脚本缺陷很难消除、网络变成语言使用起来非常简单等。CVE认为,PHP等语言的存在降低了人们创建应用程序的门槛,但也使人们发现漏洞的难度更低了。
据CVE统计,今年头9个月内的安全缺陷中有21.5%涉及跨网站脚本问题。跨网站脚本是黑客、钓鱼者、垃圾邮件发送者的常用手段,是在受害网站上潜入恶意代码的关键方法之一,很容易迷惑用户,如果再结合JavaScript或Ajax,可轻松传播网络蠕虫。随着Web 2.0的不断发展,网络管理员也必须对相应的安全问题投入更多的关注。
另外,数据库注入漏洞占14%,PHP远程文件包含漏洞占9.5%。
CVT特别指出,独立的安全研究人员很难检查其他组织网站是否存在问题,因为这会构成计算机入侵,是违法的。网络管理员Eric McCarty曾在南加州大学的网络上发现一个数据库漏洞,但随后被告上法庭,最终在上周认罪,因为他未经授权就进入了服务器。