注意 ! !|95% 的应用程序中发现错误配置和漏洞

注意,应用程序,发现错误,配置,漏洞 · 浏览次数 : 236

小编点评

## Synopsys 发布研究报告:软件供应链漏洞现状及解决方案 **主要内容:** * 4300次测试中,发现 95% 的应用程序至少有一个影响安全的漏洞或配置错误。 * 高危漏洞占 20%,严重漏洞占 4.5%。 * Web 应用程序、移动应用程序、源代码和网络系统/应用程序是参与测试的行业类型。 * 82% 的测试目标是 Web 应用程序或系统,13% 是移动应用程序,其余是源代码或网络系统/应用程序。 * 21% 的渗透测试和 27% 的静态分析测试中发现了使用中的易受攻击的第三方库类别的安全漏洞。 * 漏洞数量并没有预期那么高的部分原因可能是因为软件成分分析 (SCA) 得到了更广泛的应用。 * 多工具结合使用效果更佳报告中显示,薄弱的 SSL 和 TLS 配置、缺少内容安全策略 (CSP) 标头以及通过服务器 banner 的信息泄漏在具有安全影响的软件问题列表中名列前茅。 **重要点:** * 软件供应链安全和开源软件组件中的漏洞占问题的四分之一左右。 * 渗透测试检测到 77% 的弱 SSL/TLS 配置问题,而动态应用程序安全测试 (DAST) 在 81% 的测试中检测到该问题。 * 漏洞数量并没有预期那么高的部分原因可能是因为软件成分分析 (SCA) 得到了更广泛的应用。

正文

业内权威机构 Synopsys 最近发布了一项研究报告,结果表明在进行4300次测试后,发现95%的应用程序中都至少都有一个影响安全的漏洞或配置错误,其中高危漏洞占20%,严重漏洞则占4.5%。在此次研究中,82% 的测试目标是 Web 应用程序或系统,13% 是移动应用程序,其余是源代码或网络系统/应用程序。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。阅读文本,将带你快速了解报告的重要内容。
 

软件供应链风险

如今的开源软件包含来自80%的代码库的代码。在这些代码库中,有81%的代码库至少存在一个漏洞,同时还有85%的代码库甚至包含过时四年的开源组件。然而尽管存在这些担忧,但软件供应链安全和开源软件组件中的漏洞占问题的四分之一左右。报告称,在 21% 的渗透测试和 27% 的静态分析测试中发现了使用中的易受攻击的第三方库类别的安全漏洞。
 

软件组件中的漏洞数量并没有预期那么高的部分原因可能是因为软件成分分析 (SCA) 得到了更广泛的应用。这说明“安全左移”的概念得到了很好的实践并获得不错的效果,软件组件中的漏洞可以在软件开发生命周期 (SDLC) 的早期阶段(开发和 DevOps 阶段)发现,从而有效减少了将此类漏洞投入生产的数量。
 

多工具结合使用效果更佳

报告中显示,薄弱的 SSL 和 TLS 配置、缺少内容安全策略 (CSP) 标头以及通过服务器 banner 的信息泄漏在具有安全影响的软件问题列表中名列前茅,虽然许多错误配置和漏洞被认为是中等或较低的危害程度,但至少有 25% 被评为高危或严重。
 

值得注意的是,在研究过程中,有许多企业通常将配置问题视为不太重要的问题,但实际上配置问题和代码问题同样具有风险性。企业可能在执行静态扫码以减少编码漏洞数量方面做得很好,但是很少或者几乎没有企业考虑配置错误问题。同时,由于不了解部署代码的生产环境,静态应用程序安全测试 (SAST) 扫描无法执行配置检查。
 

Synopsys 发布了来自各种不同测试的数据,每个测试都有相似的重要问题。比如,加密技术的薄弱配置,即安全套接字层 (SSL) 和传输层安全性 (TLS)问题,在静态、动态和移动应用程序安全测试中尤为突出(见下方图表数据)。

图片来源:Synopsys
 

在研究过程中,渗透测试检测到 77% 的弱 SSL/TLS 配置问题,而动态应用程序安全测试 (DAST) 在 81% 的测试中检测到该问题。根据报告结果显示,这两种技术加上移动应用程序安全测试 (MAST) 能够检测到82%的配置问题。同时,渗透测试在四分之一的应用程序中发现了弱密码策略,在 22% 的应用程序中发现了跨站点脚本,而 DAST 在 38% 的测试中发现了缺乏足够会话超时的应用程序,在 30% 的测试中发现了容易受到点击劫持的应用程序。静态和动态测试以及软件组合分析 (SCA) 都各有优势,因此建议结合使用,以最大程度地检测出潜在的错误配置和漏洞。
 

总体而言,从 2,700 多个程序的近 4,400 次测试中收集的数据来看,跨站点脚本(XSS)漏洞是高危漏洞,这是影响 web 应用程序的最普遍且最具破坏性的高危漏洞,该漏洞占已发现漏洞的 22%。而 SQL 注入是严重漏洞类别,占已发现漏洞的4%。
 

报告其他要点总结

在77%的漏洞中发现了 OWASP Top 10 漏洞。以 OWASP A05:2021 – 安全配置错误类别为代表,应用程序和服务器配置错误占测试中发现的总漏洞数量的 18%(比去年的调查结果减少 3%)。其中有 18% 与 OWASP A01:2021 – 损坏的访问控制类别相关(比去年减少 1%)。
 

生成或获取软件物料清单(SBOM)刻不容缓。在 21% 的渗透测试中发现了易受攻击的第三方库(比去年的调查结果增加了 3%)。这与 2021 OWASP Top 10 类别 A06:2021 - 易受攻击和过时组件的使用相对应。大多数组织混合使用定制代码、商业现成代码和开源组件来创建他们在内部销售或使用的软件。这些组织通常有非正式的(或没有)清单,详细说明他们的软件正在使用哪些组件,以及这些组件的许可证、版本和补丁状态。许多公司在使用数百个应用程序或软件系统,每个公司本身可能有成百上千个不同的第三方和开源组件, 因此迫切需要准确、最新的软件物料清单来有效跟踪这些组件。
 

低风险漏洞仍然可以被利用并促进攻击。在测试中发现的漏洞中有 72% 被认为是低风险或中等风险。也就是说,攻击者无法直接利用发现的问题来访问系统或敏感数据。尽管如此,这些低风险漏洞仍然可以被利用来促进攻击。例如,冗长的服务器标语(在 49% 的 DAST 测试和 42% 的渗透测试中发现)提供了服务器名称、类型和版本号等信息,攻击者可以利用这些信息对特定技术堆栈执行有针对性的攻击。

与注意 ! !|95% 的应用程序中发现错误配置和漏洞相似的内容:

注意 ! !|95% 的应用程序中发现错误配置和漏洞

业内权威机构 Synopsys 最近发布了一项研究报告,结果表明在进行4300次测试后,发现95%的应用程序中都至少都有一个影响安全的漏洞或配置错误,其中高危漏洞占20%,严重漏洞则占4.5%。在此次研究中,82% 的测试目标是 Web 应用程序或系统,13% 是移动应用程序,其余是源代码或网络系统

项目讲解之常见安全漏洞

本文是从开源项目 RuoYi 的提交记录文字描述中根据关键字漏洞|安全|阻止筛选而来。旨在为大家介绍日常项目开发中需要注意的一些安全问题以及如何解决。 项目安全是每个开发人员都需要重点关注的问题。如果项目漏洞太多,很容易遭受黑客攻击与用户信息泄露的风险。本文将结合3个典型案例,解释常见的安全漏洞及修

[转帖]linux 部署jmeter&报错处理

一、linux 安装jdk Java Downloads | Oracle 二、 linux上传jmeter 2.1 上传jmeter jmeter 下载地址: Apache JMeter - Download Apache JMeter 注意: 我先在我本地调试脚本(mac环境),调试完成后,再在

洛谷题解 | P5660 数字游戏

​ 目录 题目描述 输入格式 输出格式 输入输出样例 说明/提示 题目简化 题目思路 AC代码 题目描述 小 K 同学向小 P 同学发送了一个长度为 8 的 01 字符串来玩数字游戏,小 P 同学想要知道字符串中究竟有多少个 1。 注意:01 字符串为每一个字符是 0 或者 1 的字符串,如“101

[转帖]awk——getline

http://t.zoukankan.com/panscience-p-4685698.html A.getline从整体上来说,应这么理解它的用法: 当其左右无重定向符 | 或 < 时,getline作用于当前文件,读入当前文件的第一行给其后跟的变量var 或$0(无变量);应该注意到,由于awk

DeepViT:字节提出深层ViT的训练策略 | 2021 arxiv

作者发现深层ViT出现的注意力崩溃问题,提出了新颖的Re-attention机制来解决,计算量和内存开销都很少,在增加ViT深度时能够保持性能不断提高 来源:晓飞的算法工程笔记 公众号 论文: DeepViT: Towards Deeper Vision Transformer 论文地址:https

Golang 依赖注入设计哲学|12.6K 的依赖注入库 wire

本文从“术”层面,讲述“依赖注入”的实现,带你体会其对于整洁架构 & DDD 等设计思想的落地,起到的支撑作用。

OSPF常用配置和常用的查看命令

转载请注明出处: 1.启动OSPF进程,进入OSPF视图。 [Huawei] ospf [ process-id | Router ID Router ID ] 路由器支持OSPF多进程,进程号是本地概念,两台使用不同OSPF进程号设备之间也能够建立邻接关系。 2.创建并进入OSPF区域视图 [Hu

前端如何实现将多页数据合并导出到Excel单Sheet页解决方案|内附代码

本文由葡萄城技术团队于博客园原创并首发 转载请注明出处:葡萄城官网,葡萄城为开发者提供专业的开发工具、解决方案和服务,赋能开发者。 前端与数据展示 前后端分离是当前比较盛行的开发模式,它使项目的分工更加明确,后端负责处理、存储数据;前端负责显示数据.前端和后端开发人员通过接口进行数据的交换。因此前端

DevOps infra | 互联网、软件公司基础设施建设(基建)哪家强?

国内公司普遍不注重基础设施建设,这也是可以理解的。吃饭都吃不饱,就别提什么荤素搭配,两菜一汤了。但也不能全说是这样,还是有很多公司投入大量的人力物力去做好公司的基建,比如很多阿里和美团的小伙伴对公司的基建还是很认可的。 为什么工程师都很在意公司的基建 有人说再好的磨盘也只是提升了驴拉磨的效率,便宜了