業內權威機構 Synopsys 最近發布了一項研究報告,結果表明在進行4300次測驗后,發現95%的應用程式中都至少都有一個影響安全的漏洞或配置錯誤,其中高危漏洞占20%,嚴重漏洞則占4.5%,在此次研究中,82% 的測驗目標是 Web 應用程式或系統,13% 是移動應用程式,其余是源代碼或網路系統/應用程式,參與測驗的行業包括軟體和互聯網、金融服務、商業服務、制造業、消費者服務和醫療保健,閱讀文本,將帶你快速了解報告的重要內容,
軟體供應鏈風險
如今的開源軟體包含來自80%的代碼庫的代碼,在這些代碼庫中,有81%的代碼庫至少存在一個漏洞,同時還有85%的代碼庫甚至包含過時四年的開源組件,然而盡管存在這些擔憂,但軟體供應鏈安全和開源軟體組件中的漏洞占問題的四分之一左右,報告稱,在 21% 的滲透測驗和 27% 的靜態分析測驗中發現了使用中的易受攻擊的第三方庫類別的安全漏洞,
軟體組件中的漏洞數量并沒有預期那么高的部分原因可能是因為軟體成分分析 (SCA) 得到了更廣泛的應用,這說明“安全左移”的概念得到了很好的實踐并獲得不錯的效果,軟體組件中的漏洞可以在軟體開發生命周期 (SDLC) 的早期階段(開發和 DevOps 階段)發現,從而有效減少了將此類漏洞投入生產的數量,
多工具結合使用效果更佳
報告中顯示,薄弱的 SSL 和 TLS 配置、缺少內容安全策略 (CSP) 標頭以及通過服務器 banner 的資訊泄漏在具有安全影響的軟體問題串列中名列前茅,雖然許多錯誤配置和漏洞被認為是中等或較低的危害程度,但至少有 25% 被評為高危或嚴重,
值得注意的是,在研究程序中,有許多企業通常將配置問題視為不太重要的問題,但實際上配置問題和代碼問題同樣具有風險性,企業可能在執行靜態掃碼以減少編碼漏洞數量方面做得很好,但是很少或者幾乎沒有企業考慮配置錯誤問題,同時,由于不了解部署代碼的生產環境,靜態應用程式安全測驗 (SAST) 掃描無法執行配置檢查,
Synopsys 發布了來自各種不同測驗的資料,每個測驗都有相似的重要問題,比如,加密技術的薄弱配置,即安全套接字層 (SSL) 和傳輸層安全性 (TLS)問題,在靜態、動態和移動應用程式安全測驗中尤為突出(見下方圖表資料),
圖片來源:Synopsys
在研究程序中,滲透測驗檢測到 77% 的弱 SSL/TLS 配置問題,而動態應用程式安全測驗 (DAST) 在 81% 的測驗中檢測到該問題,根據報告結果顯示,這兩種技術加上移動應用程式安全測驗 (MAST) 能夠檢測到82%的配置問題,同時,滲透測驗在四分之一的應用程式中發現了弱密碼策略,在 22% 的應用程式中發現了跨站點腳本,而 DAST 在 38% 的測驗中發現了缺乏足夠會話超時的應用程式,在 30% 的測驗中發現了容易受到點擊劫持的應用程式,靜態和動態測驗以及軟體組合分析 (SCA) 都各有優勢,因此建議結合使用,以最大程度地檢測出潛在的錯誤配置和漏洞,
總體而言,從 2,700 多個程式的近 4,400 次測驗中收集的資料來看,跨站點腳本(XSS)漏洞是高危漏洞,這是影響 web 應用程式的最普遍且最具破壞性的高危漏洞,該漏洞占已發現漏洞的 22%,而 SQL 注入是嚴重漏洞類別,占已發現漏洞的4%,
報告其他要點總結
在77%的漏洞中發現了 OWASP Top 10 漏洞,以 OWASP A05:2021 – 安全配置錯誤類別為代表,應用程式和服務器配置錯誤占測驗中發現的總漏洞數量的 18%(比去年的調查結果減少 3%),其中有 18% 與 OWASP A01:2021 – 損壞的訪問控制類別相關(比去年減少 1%),
生成或獲取軟體物料清單(SBOM)刻不容緩,在 21% 的滲透測驗中發現了易受攻擊的第三方庫(比去年的調查結果增加了 3%),這與 2021 OWASP Top 10 類別 A06:2021 - 易受攻擊和過時組件的使用相對應,大多陣列織混合使用定制代碼、商業現成代碼和開源組件來創建他們在內部銷售或使用的軟體,這些組織通常有非正式的(或沒有)清單,詳細說明他們的軟體正在使用哪些組件,以及這些組件的許可證、版本和補丁狀態,許多公司在使用數百個應用程式或軟體系統,每個公司本身可能有成百上千個不同的第三方和開源組件, 因此迫切需要準確、最新的軟體物料清單來有效跟蹤這些組件,
低風險漏洞仍然可以被利用并促進攻擊,在測驗中發現的漏洞中有 72% 被認為是低風隙訓中等風險,也就是說,攻擊者無法直接利用發現的問題來訪問系統或敏感資料,盡管如此,這些低風險漏洞仍然可以被利用來促進攻擊,例如,冗長的服務器標語(在 49% 的 DAST 測驗和 42% 的滲透測驗中發現)提供了服務器名稱、型別和版本號等資訊,攻擊者可以利用這些資訊對特定技術堆疊執行有針對性的攻擊,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/536138.html
標籤:其他
上一篇:驗證碼識別插件的配置教程