报告显示:组件是Java应用易受黑客攻击的关键

最新推荐文章于 2024-06-09 16:37:13 发布
最新推荐文章于 2024-06-09 16:37:13 发布
阅读量106 收藏
点赞数
文章标签: java
原文链接:https://yq.aliyun.com/articles/229155
版权

Java 开发者想要尽可能避免安全漏洞,应该更加了解他们在应用程序中使用的开源组件。Veracode 公司近日发布了一份新的报告,数据显示 88% 的 Java 应用包含一个以上的易受攻击的组件,还有约 53.3%的 Java 应用依赖于易受攻击的 Commons Collections 组件版本。

Veracode 的 CTO Chris Wysopal 表示:“组件的普遍使用,意味着当某个组件中的漏洞被披露时,可能会影响数以千计的应用”。

据该公司称,应用变得脆弱的主要原因是开发者在组件发布新版本或发现新漏洞时,多数情况下不会去修补应用。“2017年软件安全报告”也指出,只有 28% 的团队会及时去跟踪和监测其应用使用的组件。当应用大约 75% 的代码都是由开源组件组成时,问题就来了。

Wysopal 表示,“开发团队不能也不应该停止使用组件,但当漏洞被利用时,时间是至关重要的。开源组件和第三方组件并不一定没有内部开发的代码安全,而是需要保持正在使用的组件及时更新“。 Wysopal 建议公司更重视这一威胁,并使用工具来监控组件的情况。


本文作者:王练

来源:51CTO

weixin_34275734
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java Vulnerable Lab - Pentesting Lab:故意易受攻击的 Web 应用程序-开源
05-30
这是由网络安全和隐私基金会 (www.cysecurity.org) 为 Java 程序员开发的易受攻击的 Web 应用程序有关 Hacking and Securing Web Java Programs 的完整课程可在 https://www.udemy.com/hacking-securing -java-web-programming/ WAR 文件:---------- https://sourceforge.net/projects/javavulnerablelab/files/latest/JavaVulnerableLab.war/download Virtualbox VM 文件:----- --------------------- http://sourceforge.net/projects/javavulnerablelab/files/v0.1/JavaVulnerableLab.ova/download 虚拟机的凭据:- --------------- 用户名:root 密码:cspf 独立文件:(直接运行Jar文件)--------- ----- ht
深入解析Spring核心API: 打造高效Java应用
12-13
本文深入探讨了Spring的核心API,包括BeanFactory、BeanDefinition以及事务管理等关键组件。 BeanFactory是Spring框架的心脏,作为Bean容器的根接口,它采用工厂模式来管理Bean的生命周期。BeanDefinition则详细描述...
易受攻击的五大开源组件!这些组件你用了吗?
Sectrend的博客
01-18 1101
本文为大家简单介绍了亚洲地区最易受攻击的五大开源组件,然而就不完全数据显示,很多大型企业的代码中开源代码占据了超过了50%的比例,相信这远远不止五个组件
十大最易受攻击的软件 Java第一Adobe第三
weixin_34248487的博客
09-04 229
本文讲的是十大最易受攻击的软件 Java第一Adobe第三,一份最近的区域性调查报告显示,美国个人电脑上安装的软件中,甲骨文公司的Java,苹果公司的QuickTime,以及Adobe公司的PDF阅读器Adobe Reader,位列十大最易受攻击软件榜单前三甲,不仅漏洞很多,没打补丁的比例也相当高。 这份榜单的排列依据由两个参数构成:软件的市场占有率乘以...
Web安全之易受攻击和过时的组件类漏洞详解及预防
路多辛的所思所想
02-06 800
易受攻击和过时的组件(Vulnerable and Outdated Components)类漏洞看名字就很容易理解,就是使用了具有已知漏洞的组件或者已经过时的组件。由于过时的组件不再被维护,会被发现越来越多的安全漏洞但是漏洞也不会再被修复,就会带来极大的安全隐患。当然,这里的组件不是狭义的组件,可以指代码里面引用的三方库、应用程序、操作系统、数据库、服务器、Linux 内核等等。在被暴出漏洞的情况下或有新版本的情况下,没有及时修复或升级系统、框架或依赖库的版本。不清楚使用的组件和依赖的组件的版本。
【web-攻击web服务器】(13.2)易受攻击的服务器软件、Web 应用程序防火墙
09-02 1247
易受攻击的服务器软件、Web 应用程序防火墙】
Java组件练习.zip_Java组件应用_these2ai
09-24
练习Java窗口及组件,练习窗口的绘制,字体的设置
java-buildpack:用于运行Java应用程序的Cloud Foundry buildpack
02-16
它旨在运行许多基于JVM的应用程序( , ,Java Main, , 和Servlet),而无需其他配置,但支持标准组件的配置以及添加自定义组件的扩展。 用法 要使用此buildpack,在将应用程序推送到Cloud Foundry时指定存储库的...
深入学习JFCSwing:Java基础类组件
07-22
资源名称:深入学习 JFC Swing:Java 基础类组件集资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
Java日期选择器组件应用实例 源码.rar
07-10
Java日期选择器组件应用实例 源码,定义了界面组件,有父窗口(Farm),不带日期参数的 DateChooser,定义了月历表格配色和滚动条颜色,本Java日历选择器源码文件功能说明:  [DateChooser.java] Java 日期选择控件...
WEB安全扫描问题汇总
CNXBDSa的博客
08-09 2315
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery 4、Struts2开发模式 使用Spring MVC等其他框架,或升级Struts2最新版本 5、易受攻击JavaScript库 更换使用的JS库、或者修改相关的JS。 一般问题: 1、HTML表单没有CSRF保护 传到后台的表单数据都没过滤、没有进行URLEncode等 2
A9 使用含有已知漏洞的组件
weixin_43355264的博客
02-11 999
使用含有已知漏洞的组件 - 应用描述 对一些漏洞很容易找到其利用程序,但对其它的漏洞则需要定制开发。 • 这种安全漏洞普遍存在。基于组件开发的模式使得多数开发团队根本不了解 其应用或API中使用的组件,更谈不上及时更新这些组件了。 • 如Retire.js之类的扫描器可以帮助发现此类漏洞,但这类漏洞是否可以被利用 还需花费额外的时间去研究。...
2021 OWASP TOP 6-10 合集
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
07-15 805
OWASP TOP 6 ——OWASP TOP 10 合集,粗略解析。
组件攻击链】Spring全家桶各类RCE漏洞浅析
further_eye的博客
12-07 3276
尽管近期没有出现相关漏洞,但这些高风险漏洞依然不可忽视。本文涉及漏洞大多不需要复杂的配置就可以直接攻击成功,执行任意代码,危害较大。故开发者在使用Spring进行开发的过程中,一定要关注其历史风险点,规避高危漏洞,减少修改不必要的配置信息。
使用含有已知漏洞组件
whoim_i的博客
11-22 3290
原理 大多数的开发团队并不会把及时更新组件和库当成他们的工作重心,更不关心组件和库的版本,然而应用程序使用带有已知漏洞的组件会破坏应用程序防御系统,可能导致严重的数据丢失或服务器接管。 防范 1.标识正在使用的所有组件和版本,包括所有依赖项 2.及时关注这些组件的安全信息并保证他们是最新的。 3.建立使用组件的安全策略,禁止使用未经安全评估的组件。 4.在适当情况下,对组件进行安全封装,精简不必要...
jQuery漏洞复现整理
热门推荐
网安君的博客
02-23 1万+
平时Acunetix会扫出来很多 Vulnerable JavaScript libraries中危漏洞,JavaScript一般存在的都是XSS漏洞,那么如何去在报告中体现出这个漏洞呢,具体内容如下文。 JavaScript XSS Demo <!DOCTYPE html> <html lang="zh"> <head> <meta charset="UTF-8"> <meta name="viewport" content="wid
OWASP top10(OWASP十大应用安全风险)之A9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities)
qq_39682037的博客
03-19 2993
TOP9 使用具有已知漏洞的组件 (Using Components with Known Vulnerabilities) 简单的网站(例如个人博客)对其具有很大的依赖性。毫无疑问,如果不更新网站后端和前端上的每个软件,无疑会给人们带来沉重的安全风险,而不是迟早会带来风险。虽然这可能有点讽刺,但是每次您忽略更新警告时,您可能都允许一个已知的漏洞在您的系统中幸存。相信我,网络犯罪分子会迅速调查软件...
简单的项目部署脚本(转载)
u010230019的博客
06-09 584
有些项目团队喜欢使用docker启动java服务,那么我们同样可以将上述脚本稍做改造,来实现基于shell+docker的简单项目部署能力。可以将核心节点的错误或者失败内容通过webhook发送到对应的告警平台,比如钉钉、飞书机器人等。把~/.ssh/id_rsa.pub内容添加到远程仓库的ssh秘钥中。执行start.sh脚本打包部署。start.sh脚本内容。
修改菜品——后端Java
最新发布
weixin_53717695的博客
06-09 382
修改菜品——后端Java
java单行显示文本框_Java Swing JTextField:单行文本框组件
06-09
Java Swing中的JTextField组件可以用来创建单行文本框。以下是创建一个JTextField的示例代码: ``` import javax.swing.JFrame; import javax.swing.JTextField; public class MyTextField extends JFrame{ ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值