加州山景城,2022年11月15日从/ -集成电路制造有限公司委托新思科技有限公司(Nasdaq: SNPS)今日公布软件漏洞快照:10个最常见的Web应用程序漏洞报告检视了对2,700个软件目标进行的4,300次安全测试的结果,这些目标包括网络应用程序、移动应用程序、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式的“黑盒”或“灰盒”测试,包括渗透测试,动态应用安全测试(DAST),移动应用安全测试(MAST),旨在像现实世界的攻击者一样探测正在运行的应用程序。
82%的测试目标是web应用程序或系统,13%是移动应用程序,其余的是源代码或网络系统/应用程序。参加测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费服务和医疗保健。
在进行的4300次测试中,95%的目标被发现具有某种形式的漏洞(比去年的发现减少了2%)。20%的攻击目标存在高风险漏洞(比去年减少10%),4.5%的攻击目标存在严重漏洞(比去年减少1.5%)。
结果表明,安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组合分析,以帮助确保应用程序或系统不存在漏洞。例如,22%的测试目标存在跨站脚本(XSS)漏洞,这是影响web应用程序的最普遍和最具破坏性的高/关键风险漏洞之一。许多XSS漏洞是在应用程序运行时发生的。好消息是,在今年的调查结果中发现的XSS漏洞比去年的调查结果低了6%,这意味着组织正在采取积极的措施来减轻其生产应用程序中的XSS漏洞。
Synopsys software Integrity Group的安全咨询副总裁Girish Janardhanudu说:“这项研究强调了侵入式黑盒测试技术,如DAST和钢笔测试,对于显示软件开发生命周期中可利用的漏洞特别有效,应该成为任何全面的应用程序安全测试方案的一部分。”
其他报告重点
- OWASP前10大漏洞在77%的目标中被发现.应用程序和服务器错误配置占测试中发现的所有漏洞的18%(比去年的发现减少了3%),由OWASP A05:2021 -安全错误配置类别代表。发现的漏洞总数中有18%与OWASP A01:2021 -访问控制漏洞类别有关(比去年下降了1%)。
- 迫切需要一个软件材料清单.在21%的渗透测试中发现了脆弱的第三方库(比去年的结果增加了3%)。这与2021年OWASP前10名类别a06:2021 -易受攻击和过时组件的使用。大多数组织混合使用定制代码、商业现货代码和开源组件来创建他们在内部销售或使用的软件。这些组织通常有非正式的(或没有)清单,详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。由于许多公司有数百个应用程序或软件系统在使用,每个公司本身可能有数百到数千个不同的第三方和开源组件,这是一个准确的、最新的组件软件物料清单迫切需要有效地跟踪这些组件。
- 风险较低的漏洞也可以被利用来促进攻击.在测试中发现的漏洞中,有72%被认为是低风险或中等风险。也就是说,攻击者不能直接利用发现的问题来访问系统或敏感数据。尽管如此,重新出现这些漏洞并不是徒劳无功,因为即使是风险较低的漏洞也可以被利用来促进攻击。例如,详细的服务器横幅(在49%的DAST测试和42%的钢笔测试中发现)提供了服务器名称、类型和版本号等信息,允许攻击者对特定的技术堆栈执行有针对性的攻击。
如欲了解更多,请下载软件漏洞快照:10个最常见的Web应用程序漏洞,或阅读博客.
关于Synopsys软件完整性组
Synopsys Software Integrity Group提供集成解决方案,改变开发团队构建和交付软件的方式,在解决业务风险的同时加速创新。我们业界领先的软件安全产品和服务组合是世界上最全面的,并与第三方和开源工具互操作,允许组织利用现有投资来构建最适合他们的安全计划。只有Synopsys能提供你在软件中建立信任所需的一切。欲知详情,请浏览www.synopsys.com/software.
关于Synopsys对此
Synopsys, Inc.(纳斯达克股票代码:SNPS)是创新公司的硅到软件™合作伙伴,开发我们每天依赖的电子产品和软件应用程序。作为标准普尔500指数的成分股,Synopsys在电子设计自动化(EDA)和半导体IP领域有着悠久的历史,并提供业界最广泛的应用安全测试工具和服务。无论您是开发先进半导体的片上系统(SoC)设计师,还是编写更安全、高质量代码的软件开发人员,Synopsys都能提供提供创新产品所需的解决方案。欲知详情,请浏览www.synopsys.com.