2022年软件漏洞快照报告

软件脆弱性快照 十大最常见的Web应用程序漏洞 CyRC 分析由Synopsys对此安全测试网络安全服务和Synopsys对此研究中心 表的内容 概述。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。1 谁应该阅读这份报告2 本报告中提到的测试类型3 谁使用第三方应用程序安全测试3 在SynopsysAST服务测试中发现的安全问题4 漏洞细分按OWASP前10名6OWASP类别详解8 使用全方位的安全工具进行测试。9 白帽动态10 即使是风险较低的漏洞也可以被用来促进攻击11 易受攻击的第三方库的危险12 使用软件物料清单管理供应链风险12 需要一个全面的AppSec计划来大规模管理风险13 建议。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 。。。。。。。。。。。。。。。14关于CyRC研究 synopsys.com 概述行业中 为了生成年度“应用程序漏洞快照”报告，Synopsys网络安全研究中心（CyRC）研究人员检查来自商业软件系统的匿名数据 应用程序测试Synopsys对此应用程序安全测试(AST)服务。今年的报告 包括2021年针对2，711个目标（即软件或系统）进行的4，398次测试的数据。几乎所有的测试（95%）都是侵入性的“黑匣子”和“灰盒”测试，包括渗透（笔） 测试、动态应用程序安全测试（DAST）和移动应用程序安全测试（MAST） 这项研究 32% 软件和互联网, 分析。 黑盒测试从局外人的角度接近目标的安全状态，而灰色 盒式测试模拟具有凭据的经过身份验证的用户—实质上是扩展黑盒测试 具有更深入的见解。SynopsysAST服务将运行的应用程序作为真实世界进行测试攻击者的目标是识别漏洞，然后可以对其进行分类和修复 这是很有必要的。 系统集成和 服务,电脑和电子产品 测试的目标主要是Web（82%）和移动（13%）应用程序，其余5%源代码或网络系统/应用程序测试。代表的行业包括 软件和互联网（32%），金融服务（26%），商业服务（18%），制造业（7%），消费者服务（7%）和医疗保健（6%）。其余4%的测试目标代表旅行 以及休闲、教育、能源和公用事业以及其他垂直领域。 Synopsys对此AST服务测试探针作为一个实际运行应用程序 攻击者会与识别的目的 可以修复的漏洞 和纠正。 26% 18% 7% 7% 金融服务、保险 业务服务 制造、运输和 储存、批发和分销 消费者服务,媒体和 娱乐、零售、电子商务 6% 医疗、制药、和生物技术 4%其他 synopsys.com 谁应该阅读这个报告 如果您负责软件安全计划，深入了解软件风险会有所帮助您计划安全工作的战略改进。如果您正在查看来自 在战术方面，您可以使用本报告中的信息来展示扩展的业务案例软件安全计划中的安全测试，例如，通过增强静态应用程序 安全测试（SAST）和软件组合分析（SCA），或通过测试正在运行的应用程序 DAST、钢笔或模糊测试或桅杆。 根据Forrester报告“应用程序安全状态：2022年”，Web应用程序 漏洞利用是第三大最常见的攻击（参见图1）。有了这么多的曝光，很明显组织需要以与攻击者相同的方式测试其正在运行的Web应用程序，并且然后在漏洞被外部代理利用之前识别并消除漏洞。 “攻击进行了怎么样?” 软件漏洞利用供应链/第三方违约 Web应用程序开发(SQLiXSS,RFI) 社会工程 网络钓鱼 35% 33% 32% 31% 30% 使用弱或被盗凭证 战略网络妥协 管理员工具的滥用丢失或被盗资产的开发 Malspam 29% 27% 26% 26% 24% 88%的组织参与 BSIMM项目使用 外部渗透 测试人员发现的问题。 图1.Web应用程序漏洞占攻击的30%以上 synopsys.com 谁使用第三方应用程序安全性测试第三方的好处 企业使用第三方应用程序安全测试服务因为各种各样的原因之一最大的原因是缺乏训练有素或经验丰富的安全专业人员。 一些组织可能还希望验证自己的测试，并确保其内部 安全控制正在工作。其他人可能需要扩展其软件安全测试 功能，但不想在预算中添加专用工具和人员。还有一些人可能需要遵守强制进行第三方评估的法规或业务要求。为 例如，支付卡行业数据安全标准（PCIDSS）要求对定期计划或在软件或系统发生任何重大更改后。 App保护 测试 第三方可以提供专业、规模、信任在发现和修复的指导。他们可以也降低整体风险态势而储蓄 你的时间和金钱。第三方当你需要测试是有用的 “2022BSIMM13趋势和的见解报告“发现，88%的参与组织 在成熟度模型（BSIMM）项目中构建软件，这是一个检查策略的程序组织采用将安全性构建到软件开发中，使用外部渗透 测试人员发现问题。这些测试可以发现内部可能遗漏的问题 测试，并可能突出显示组织安全工具集中的薄弱环节。如果是静态分析工具例如，无法捕获在DAST或渗透测试期间出现的安全缺陷， 组织的整体安全测试组合可能存在问题。 提高你的安全 报道 对于那些想要了解有关BSIMM项目的更多信息的人，”BSIMM13基金会”报告提供有关BSIMM背景和数据的深入详细信息，以及”BSIMM13趋势和见解”报告提供了当前BSIMM调查结果的提炼。 实现遵从性需求 本报告中提到的测试的类型 SynopsysAST服务在2021年进行的测试中有64%是笔测试— 旨在评估应用程序或系统安全性的模拟攻击。渗透测试使组织能够在最后的开发阶段查找和修复运行时漏洞软件或部署后。渗透测试通常是安全性的合规性要求标准。如本报告前面所述，符合PCIDSS要求对 定期安排。 渗透测试还会在安全等式中引入所需的人为因素。一些自动化测试工具无法轻松检测到漏洞，需要人工监督才能 被揭开。例如，检测不安全的直接对象引用的唯一有效方法 （IDOR）是允许攻击者访问未经授权的数据的问题，它通过执行手动测试。 增加你的安全的声誉与客户 提高你的应对 软件安全威胁 synopsys.com 动态应用程序安全性测试(DAST)和移动应用安全测试(天线)是分别占总测试的18%和12%。MAST用于发现身份验证和授权问题、客户端信任问题、配置错误的安全控制、跨平台开发框架 在移动设备和相应服务器上运行的应用程序二进制文件中的问题和漏洞端系统。 DAST的主要目标是测试正在运行的Web应用程序是否存在SQL等漏洞。注入和跨站点脚本。Web应用程序中利用的漏洞不存在 源代码;它们只有在部署到生产中后才会出现。这使得DAST成为一个必不可少的组件任何应用程序的安全性测试项目。 如前所述，有时需要人工监督来开发完整的软件安全图。SynopsysDAST评估包括手动测试，以发现通常无法发现的漏洞由开箱即用的工具发现，例如与身份验证和会话相关的一些漏洞管理、访问控制和信息泄露。 关于静态应用程序安全测试（SAST）和软件的使用经常存在混淆成分分析（SCA）与DAST和渗透测试的需求。SAST和SCA测试应用程序代码，用于发现一组不同于DAST和渗透测试的漏洞。组织需要在软件开发的不同阶段利用多种测试技术 过程综合安全保险。 在SynopsysAST服务测试中发现的安全问题 在2021年进行的4，398次SynopsysAST服务测试中，95%发现了某种形式的漏洞在目标应用程序中。总数的25%是高风险或关键风险漏洞。 随着越来越多的攻击者使用自动利用工具，这些工具可以攻击数千个系统只需几秒钟，只要这些漏洞，修复这些漏洞就迫在眉睫 被发现。例如，允许跨站点脚本（XSS）的漏洞可能会给攻击者带来他们需要访问应用程序资源和数据。SynopsysAST服务发现，22%的2021年测试目标存在反射、存储或基于DOM的跨站点脚本漏洞 (见图2)。 关键风险漏洞允许攻击者在Web应用程序或应用程序服务器上执行代码并访问敏感数据。常见的严重风险漏洞包括远程代码执行和SQL 注入-通过从客户端到应用程序的输入数据插入SQL查询。虽然未显示在图2中，总测试目标中有4%容易受到某种类型的SQL注入的影响。 4398年的测试Synopsys对此AST服务 进行,95% 发现某种形式脆弱的 目标应用程序。 synopsys.com 新思科技应用安全测试服务数字 2,7114,3984,19430,7311,420 测试的目标测试测试,发现漏洞漏洞(95%)发现 类型的测试(不包括新生) 高的测试,或重大风险 漏洞(25%) 64% 笔测试 18% 动态分析 脆弱性弱SSL/TLS 发现配置(82%) 12% 6% 移动测试 其他* 顶级高风险脆弱性 发现 反映、存储或基于dom的跨网站脚本(22%) *静态分析、网络笔测试 修复反复测试验证: 总额的34%的测试 新鲜的评估之前 测试应用程序:总额的26%的测试 顶级的重大风险脆弱性 发现 SQL注入/盲SQL注入(4%) synopsys.com 百分比的脆弱性 脆弱性 总测试目标 弱的SSL/TLS配置 82% 失踪Content-Security-Policy头 46% 详细的服务器横幅 45% 未实现HTTP严格传输安全（HSTS） 40% 缓存HTTPS内容 34% 不安全的Content-Security-Policy头 28% 弱密码策略 26% 过度的会话超时时间 25% “点击劫持” 22% 反射式、存储式或基于DOM的跨站点脚本 22% 图2.2021年测试中发现的10大漏洞 漏洞OWASP崩溃的前10名 开放Web应用程序安全项目（更广为人知的名称为OWASP）前10名列表代表在最 Web应用程序的关键安全风险。2021年底，前10名名单更新了三个新的添加了类别并合并了其他类别或名称和范围发生了更改。 虽然OWASP打算作为意识文件，但许多组织将该列表用作事实上的 应用程序安全标准。在SynopsysAST中发现的总共30，731个漏洞中服务测试中，78%属于OWASP前10名类别。 总数的30731发现的漏洞 Synopsys对此AST服务掉进了一个测试,78% OWASP十大类别。 synopsys.com 图3列出了Synopsys发现的10个最普遍的漏洞，与OWASPTop相匹配10,在两种情况下,OWASP移动前10名。 OWASP家庭 描述十大类别 的百分比脆弱性总共 漏洞 信息披露: 信息泄漏 服务器错误配置传输层不足 保护 授权:不足 A01:2021-Broken访问控制 A05:2021-Security错误配置M3:传输层不足 保护 18% 18% 11% 图3列出了十大普遍的漏洞 Synopsys对此发现,匹配 M6:不安全的授权 授权 A07:2021-Identification和 7%与OWASP最高 在两种情况下, 应用隐私测试5% 身份验证失败 OWASP移动前10名。 客户端攻击:内容欺骗 A03:2021-Injection4% A07:2021-Identification和 指纹识别4% 身份验证失败 身份验证:不足身份验证 A07:2021-Identification和 4% 身份验证失败 应用程序错误配置A05:2021-Security错误配置4% 授权:不足会话过期 A07:2021-Identification和 3% 身份验证失败 总计78% 图3.与2021年OWASP前10名和OWASP移动前10名类别匹配的漏洞 synopsys.com OWASP详细分类 A01:2021-Broken访问控制A05:2021-Security错