Imperva 昨日发布了“ 2018 Web 应用漏洞现状”报告。数据显示，2018 年发现的 Web 应用新漏洞共 17,142 个，比 2017 年增加了 21％ ，相比 2016 年增加了 159％ 。其中有超过一半的漏洞可被黑客公开利用，有超过 1/3 的漏洞暂时还没有可用的解决方案。

CMS 方面，WordPress 的漏洞数量持续增加。Drupal 虽然数量低于 WordPress ，但造成的影响更大，被用于大规模攻击。此外，物联网、弱验证，以及 PHP 相关的漏洞数量有所下降。



整体来看，占比最高的是注入漏洞，像是 SQL 注入、命令注入、对象注入等，同比增长了 588％ ，占总漏洞数的 19％ 。 其次是 XSS 漏洞，占 14％ 。



对于 2019 年，Imperva 预测：

注入漏洞数量将继续增长；

PHP 5.5、5.6 和 7.0 已停止支持，这意味着这些版本将不再接收安全更新。像 WordPress、Drupal 和 Joomla 这样的主流 CMS 都是用 PHP 的，虽然会更新版本，但也仍然支持旧版本。这样可能造成的结果是，黑客在不受支持的 PHP 版本中发现更多新安全漏洞；

随着 DevOps 成为 IT 的关键因素，对 API 的需求不断增长，更多 API 相关漏洞将被发现。