kode-unsplash

10 kerentanan aplikasi web paling umum menurut Synopsys

Ringkasan editor: Aplikasi web (aplikasi web) adalah landasan dari apa yang menggerakkan sebagian besar aplikasi dan transaksi saat ini. Namun, apakah benar-benar ada bentuk, fungsi, dan keamanan yang semuanya terintegrasi ke dalam aplikasi web besar dan kecil, jelas dan tidak jelas? Seperti yang telah kita lihat dari banyak pelanggaran data, kerentanan, dan lainnya saat ini, tampaknya masih banyak pekerjaan yang diperlukan di departemen keamanan untuk aplikasi web. Synopsys Cybersecurity Research Center (CyRC) melaporkan 10 kerentanan aplikasi web paling umum dalam laporannya "Snapshot Kerentanan Perangkat Lunak: 10 Kerentanan Aplikasi Web Paling Umum", yang menjalankan 4,300 pengujian pada 2,700 target perangkat lunak. Baca lebih lanjut di bawah ini.

SINGAPURA - Synopsys, Inc (Nasdaq: SNPS) hari ini menerbitkan “Snapshot Kerentanan Perangkat Lunak: 10 Kerentanan Aplikasi Web Paling Umum.” Laporan tersebut mengkaji hasil dari 4,300 tes keamanan yang dilakukan pada 2,700 target perangkat lunak, termasuk aplikasi web, aplikasi seluler, file kode sumber, dan sistem jaringan (yaitu, perangkat lunak atau sistem). Sebagian besar tes keamanan adalah tes "kotak hitam" atau "kotak abu-abu" yang mengganggu, termasuk pengujian penetrasi, pengujian keamanan aplikasi dinamis (DAST), dan pengujian keamanan aplikasi seluler (MAST), dirancang untuk menyelidiki aplikasi yang sedang berjalan seperti yang dilakukan penyerang dunia nyata.

Delapan puluh dua persen dari target pengujian adalah aplikasi atau sistem web, 13% adalah aplikasi seluler, dan sisanya adalah kode sumber atau sistem/aplikasi jaringan. Industri yang diwakili dalam pengujian termasuk perangkat lunak dan internet, layanan keuangan, layanan bisnis, manufaktur, layanan konsumen, dan perawatan kesehatan.

Dalam 4,300 pengujian yang dilakukan, 95% target ditemukan memiliki beberapa bentuk kerentanan (penurunan 2% dari temuan tahun lalu). Dua puluh persen target memiliki kerentanan berisiko tinggi (penurunan 10% dari tahun lalu), dan 4.5% memiliki kerentanan kritis (penurunan 1.5% dari tahun lalu).

Hasilnya menunjukkan bahwa pendekatan terbaik untuk pengujian keamanan adalah dengan memanfaatkan spektrum luas alat yang tersedia termasuk analisis statis, analisis dinamis, dan analisis komposisi perangkat lunak untuk membantu memastikan aplikasi atau sistem bebas dari kerentanan. Misalnya, 22% dari total target pengujian memiliki paparan terhadap kerentanan cross-site scripting (XSS), salah satu kerentanan berisiko tinggi/kritis paling umum dan merusak yang berdampak pada aplikasi web. Banyak kerentanan XSS terjadi saat aplikasi sedang berjalan. Kabar baiknya adalah paparan yang teridentifikasi dalam temuan tahun ini 6% lebih rendah dari temuan tahun lalu—artinya organisasi mengambil tindakan proaktif untuk memitigasi kerentanan XSS dalam aplikasi produksi mereka.

“Penelitian ini menggarisbawahi bahwa teknik pengujian kotak hitam yang mengganggu seperti DAST dan pengujian pena sangat efektif untuk memunculkan kerentanan yang dapat dieksploitasi dalam siklus hidup pengembangan perangkat lunak dan harus menjadi bagian dari rejimen pengujian keamanan aplikasi yang menyeluruh,” kata Girish Janardhanudu, wakil presiden, keamanan konsultasi di Synopsys Grup Integritas Perangkat Lunak.

Sorotan laporan tambahan

  • 10 kerentanan teratas OWASP ditemukan di 77% target. Kesalahan konfigurasi aplikasi dan server adalah 18% dari keseluruhan kerentanan yang ditemukan dalam pengujian (penurunan 3% dari temuan tahun lalu), diwakili oleh OWASP A05:2021 – kategori Kesalahan Konfigurasi Keamanan. Dan 18% dari total kerentanan yang ditemukan terkait dengan kategori OWASP A01:2021 – Broken Access Control (penurunan 1% dari tahun lalu).
  • Kebutuhan mendesak untuk perangkat lunak Bill of Material. Pustaka pihak ketiga yang rentan ditemukan di 21% dari tes penetrasi yang dilakukan (meningkat 3% dari temuan tahun lalu). Hal ini sesuai dengan 2021 Teratas OWASP 10 kategori A06:2021—Penggunaan Komponen Rentan dan Usang. Sebagian besar organisasi menggunakan campuran kode yang dibuat khusus, kode siap pakai komersial, dan komponen sumber terbuka untuk membuat perangkat lunak yang mereka jual atau gunakan secara internal. Seringkali organisasi tersebut memiliki informal—atau tidak ada—persediaan yang merinci dengan tepat komponen apa yang digunakan perangkat lunak mereka, serta lisensi, versi, dan status tambalan komponen tersebut. Dengan banyaknya perusahaan yang memiliki ratusan aplikasi atau sistem perangkat lunak yang digunakan, masing-masing mungkin memiliki ratusan hingga ribuan komponen pihak ketiga dan sumber terbuka yang berbeda, akurat, terkini. perangkat lunak Bill of Material sangat dibutuhkan untuk secara efektif melacak komponen tersebut. sangat dibutuhkan untuk secara efektif melacak komponen tersebut.
  • Kerentanan berisiko rendah juga dapat dimanfaatkan untuk memfasilitasi serangan. Tujuh puluh dua persen kerentanan yang ditemukan dalam pengujian dianggap berisiko rendah atau sedang. Artinya, masalah yang ditemukan tidak dapat langsung dieksploitasi oleh penyerang untuk mendapatkan akses ke sistem atau data sensitif. Meskipun demikian, memunculkan kembali kerentanan ini bukanlah latihan kosong, karena bahkan kerentanan berisiko rendah dapat dieksploitasi untuk memfasilitasi serangan. Misalnya, spanduk server verbose—ditemukan di 49% pengujian DAST dan 42% pengujian pena—memberikan informasi seperti nama server, jenis, dan nomor versi yang memungkinkan penyerang melakukan serangan tertarget pada kumpulan teknologi tertentu.

Untuk mempelajari lebih lanjut, unduh "Snapshot Kerentanan Perangkat Lunak: 10 Kerentanan Aplikasi Web Paling Umum” atau membaca posting blog.

# # #