<meter id="pryje"><nav id="pryje"><delect id="pryje"></delect></nav></meter>
          <label id="pryje"></label>

          新聞中心

          EEPW首頁(yè) > 嵌入式系統(tǒng) > 業(yè)界動(dòng)態(tài) > 新思科技發(fā)布《2022年軟件漏洞快照》報(bào)告

          新思科技發(fā)布《2022年軟件漏洞快照》報(bào)告

          —— 分析10種最常見的Web應(yīng)用漏洞
          作者: 時(shí)間:2022-12-22 來源:電子產(chǎn)品世界 收藏

          95%的應(yīng)用存在漏洞,其中25%受到嚴(yán)重或高風(fēng)險(xiǎn)漏洞影響

          本文引用地址:http://www.ex-cimer.com/article/202212/441970.htm

           

          軟件是大多數(shù)企業(yè)與客戶交互的方式。很明顯,企業(yè)不僅應(yīng)該使用靜態(tài)分析和軟件組成分析工具來測(cè)試web應(yīng)用中的常見缺陷、漏洞和錯(cuò)誤配置;而且還應(yīng)該以攻擊者探測(cè)它們的方式來測(cè)試其正在運(yùn)行的web應(yīng)用。全方位的應(yīng)用安全測(cè)試是當(dāng)今世界管理軟件風(fēng)險(xiǎn)的重要手段之一。

           image.png

          (Synopsys, Nasdaq: SNPS)近日發(fā)布了2022快照》報(bào)告。該報(bào)告審查了對(duì) 2,700 個(gè)目標(biāo)軟件進(jìn)行的 4,300 多次安全測(cè)試的結(jié)果,包括 Web 應(yīng)用、移動(dòng)應(yīng)用、源代碼文件和網(wǎng)絡(luò)系統(tǒng)(即軟件或系統(tǒng))。大多數(shù)安全測(cè)試是侵入式“黑盒”或“灰盒”測(cè)試,包括滲透測(cè)試、動(dòng)態(tài)應(yīng)用安全測(cè)試 (DAST) 移動(dòng)應(yīng)用安全測(cè)試 (MAST),旨在探測(cè)在真實(shí)環(huán)境不法分子會(huì)如何攻擊正在運(yùn)行的應(yīng)用。

           

          研究發(fā)現(xiàn),82% 的測(cè)試目標(biāo)是 Web 應(yīng)用或系統(tǒng),13% 是移動(dòng)應(yīng)用,其余是源代碼或網(wǎng)絡(luò)系統(tǒng)/應(yīng)用。參與測(cè)試的行業(yè)包括軟件和互聯(lián)網(wǎng)、金融服務(wù)、商業(yè)服務(wù)、制造業(yè)、消費(fèi)者服務(wù)和醫(yī)療保健。

           

          在進(jìn)行的 4,300 多次測(cè)試中,發(fā)現(xiàn) 95% 的目標(biāo)應(yīng)用存在某種形式的漏洞(比去年的調(diào)查結(jié)果減少了 2%); 20%存在高危漏洞(比去年減少 10%);4.5%存在嚴(yán)重漏洞(比去年減少 1.5%)。

           

          結(jié)果表明,安全測(cè)試的最佳方法是利用廣泛的可用工具,包括靜態(tài)分析、動(dòng)態(tài)分析和軟件組成分析,以幫助確保應(yīng)用或系統(tǒng)沒有漏洞。例如,總測(cè)試目標(biāo)中有 22% 暴露于跨站點(diǎn)腳本 (XSS) 漏洞。這是影響 Web 應(yīng)用最普遍和最具破壞性的高/嚴(yán)重風(fēng)險(xiǎn)漏洞之一。許多 XSS 漏洞發(fā)生在應(yīng)用運(yùn)行時(shí)。好消息是,今年的調(diào)查結(jié)果中發(fā)現(xiàn)的風(fēng)險(xiǎn)比去年低 6%。這意味著企業(yè)正在采取積極措施,以減少其應(yīng)用中的 XSS 漏洞。

           

          軟件質(zhì)量與安全部門安全咨詢副總裁Girish Janardhanudu指出:“此研究報(bào)告強(qiáng)調(diào),采用諸如DAST 和滲透測(cè)試等侵入式黑盒測(cè)試技術(shù),可以有效發(fā)現(xiàn)軟件開發(fā)生命周期中的漏洞。一個(gè)全面的應(yīng)用安全測(cè)試方案應(yīng)該將這類安全工具應(yīng)該納入其中?!?/span>

           

          2022年軟件漏洞快照》報(bào)告還發(fā)現(xiàn):

           

          ·        78% 的目標(biāo)應(yīng)用中發(fā)現(xiàn)了 OWASP 排名前 10 的漏洞。應(yīng)用和服務(wù)器配置錯(cuò)誤占測(cè)試中發(fā)現(xiàn)的總體漏洞的 18%(比去年的調(diào)查結(jié)果減少 3%),以 OWASP A05:2021 - 安全配置錯(cuò)誤”為主。發(fā)現(xiàn)的漏洞總數(shù)中有 18% 可歸為2021 OWASP Top 10中的“A01:2021 – 訪問控制失效”(比去年減少 1%)。

           

          ·        迫切需要軟件物料清單(SBOM)。 21% 的滲透測(cè)試中發(fā)現(xiàn)了易受攻擊的第三方庫(kù)(比去年的調(diào)查結(jié)果增加了 3%)。這對(duì)應(yīng)于 2021 OWASP 排名 10 中的“A06:2021 - 易受攻擊和過時(shí)的組件”。大多數(shù)企業(yè)混合使用定制代碼、商業(yè)現(xiàn)成代碼和開源組件來創(chuàng)建他們?cè)阡N售或內(nèi)部使用的軟件。這些企業(yè)通常有非正式的(或沒有)物料清單,不能詳細(xì)說明他們的軟件正在使用哪些組件,以及這些組件的許可證、版本和補(bǔ)丁狀態(tài)。許多公司在使用數(shù)百個(gè)應(yīng)用或軟件系統(tǒng),每個(gè)公司本身可能有成百上千個(gè)不同的第三方和開源組件。因此,他們迫切需要準(zhǔn)確、最新的SBOM,以有效追蹤這些組件。

           

          ·        低風(fēng)險(xiǎn)漏洞也會(huì)被利用以發(fā)起攻擊。在測(cè)試中發(fā)現(xiàn)的漏洞中有 72% 被認(rèn)為是低風(fēng)險(xiǎn)或中等風(fēng)險(xiǎn)。也就是說,攻擊者無法直接利用發(fā)現(xiàn)的漏洞來訪問系統(tǒng)或敏感數(shù)據(jù)。盡管如此,這些漏洞風(fēng)險(xiǎn)不容小覷,因?yàn)椴环ǚ肿由踔量梢岳蔑L(fēng)險(xiǎn)較低的漏洞來發(fā)起攻擊。例如,冗長(zhǎng)的服務(wù)器Banner信息(在49%DAST測(cè)試和 42% 的滲透測(cè)試中發(fā)現(xiàn))提供了服務(wù)器名稱、類型和版本號(hào)等信息,攻擊者可以利用這些信息對(duì)特定技術(shù)棧發(fā)起有針對(duì)性的攻擊。

          image.png



          關(guān)鍵詞: 新思科技 軟件漏洞

          評(píng)論


          相關(guān)推薦

          技術(shù)專區(qū)

          關(guān)閉
          看屁屁www成人影院,亚洲人妻成人图片,亚洲精品成人午夜在线,日韩在线 欧美成人 (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();