開源 Web 應用最常見漏洞是 XSS 和 SQLI 漏洞

Web應用程序安全公司Netsparker使用他們的自動化安全掃描工具，對396 個Web應用程序進行了掃描，發現了269個安全漏洞，其中最多的漏洞是跨站點腳本（XSS）和SQL注入（SQLI）漏洞，占到全部漏洞數量的87%，其中甚至還有多個零日漏洞。

對每個漏洞類別細分，研究人員發現了180個 XSS漏洞，如反射XSS，存儲XSS等等，占到全部漏洞的67%， XSS漏洞占掃描發現所有安全漏洞的67％；其次是SQL注入漏洞，數量有55個，占到全部漏洞數量20%。第三名是遠程和本地文件包含漏洞，數量有16 個，包括跨站請求偽造（CSRF），遠程命令執行（RCE）命令注入，打開重定向，HTTP頭注入和框架注入等漏洞。

這次掃描還統計了開源應用程序使用的編程語言種類，其中大多數使用PHP編程，有326個，其次使用ASP / ASP.NET進行編程，有31個。其他39應用程序使用超過10種不同技術組合構建。軟件開發環境如此多樣化，也是導致大量安全漏洞的原因之一。

來自： http://www.oschina.net//news/71057/webapp-most-bugs-is-xss-and-sqli