код-отменить всплеск

10 самых распространенных уязвимостей веб-приложений по версии Synopsys

Краткий обзор редактора: Веб-приложения (веб-приложения) — это основа большинства приложений и транзакций в наши дни. Однако действительно ли форма, функциональность и безопасность интегрированы в такие веб-приложения, большие и маленькие, очевидные и неясные? Как мы видели из многих сегодняшних утечек данных, уязвимостей и многого другого, кажется, что отделу безопасности веб-приложений требуется гораздо больше работы. Synopsys Исследовательский центр кибербезопасности (CyRC) сообщил о 10 наиболее распространенных уязвимостях веб-приложений в своем отчете «Снимок уязвимости программного обеспечения: 10 наиболее распространенных уязвимостей веб-приложений», в котором было проведено 4,300 тестов на 2,700 программных объектах. Подробнее читайте ниже.

СИНГАПУР Synopsys, Inc (Nasdaq: SNPS) сегодня опубликовала отчет «Снимок уязвимости программного обеспечения: 10 наиболее распространенных уязвимостей веб-приложений». В отчете рассматриваются результаты 4,300 тестов безопасности, проведенных на 2,700 объектах программного обеспечения, включая веб-приложения, мобильные приложения, файлы исходного кода и сетевые системы (т. е. программное обеспечение или системы). Большинство тестов безопасности были интрузивными тестами «черного ящика» или «серого ящика», в том числе тестирование на проникновение, динамическое тестирование безопасности приложений (DAST)и тестирование безопасности мобильных приложений (MAST), предназначенный для проверки запущенных приложений, как это сделал бы злоумышленник в реальном мире.

13% тестовых объектов были веб-приложениями или системами, XNUMX% — мобильными приложениями, а остальные — либо исходным кодом, либо сетевыми системами/приложениями. Отрасли, представленные в тестах, включали программное обеспечение и Интернет, финансовые услуги, бизнес-услуги, производство, потребительские услуги и здравоохранение.

В ходе 4,300 проведенных тестов было обнаружено, что 95% целей имеют ту или иную форму уязвимости (на 2% меньше, чем в прошлом году). Двадцать процентов целей имели уязвимости высокого риска (снижение на 10% по сравнению с прошлым годом), а 4.5% имели критические уязвимости (снижение на 1.5% по сравнению с прошлым годом).

Результаты показывают, что наилучшим подходом к тестированию безопасности является использование широкого спектра доступных инструментов, включая статический анализ, динамический анализ и анализ состава программного обеспечения, чтобы убедиться, что приложение или система свободны от уязвимостей. Например, 22% от общего числа объектов тестирования в той или иной степени подвергались риску межсайтового скриптинга (XSS), одной из самых распространенных и разрушительных уязвимостей с высоким/критическим риском, влияющих на веб-приложения. Многие уязвимости XSS возникают во время работы приложения. Хорошей новостью является то, что уязвимость, выявленная в отчетах этого года, была на 6% ниже, чем в результатах прошлого года, а это означает, что организации принимают упреждающие меры для снижения XSS-уязвимостей в своих производственных приложениях.

«Это исследование подчеркивает, что интрузивные методы тестирования «черного ящика», такие как DAST и Pen Testing, особенно эффективны для выявления уязвимостей в жизненном цикле разработки программного обеспечения и должны быть частью любого всестороннего режима тестирования безопасности приложений», — сказал Гириш Джанардануду, вице-президент по безопасности. консультации в Synopsys Группа целостности программного обеспечения.

Дополнительные сведения об отчете

  • Уязвимости OWASP Top 10 были обнаружены в 77% целей. Неправильные конфигурации приложений и серверов составили 18% от общего числа уязвимостей, обнаруженных в ходе тестов (на 3% меньше, чем в прошлом году), представленных категорией OWASP A05:2021 — Неправильная конфигурация безопасности. А 18% от общего числа обнаруженных уязвимостей относились к категории OWASP A01:2021 — Broken Access Control (снижение на 1% по сравнению с прошлым годом).
  • Срочно нужна спецификация программного обеспечения. Уязвимые сторонние библиотеки были обнаружены в 21% проведенных тестов на проникновение (на 3% больше, чем в прошлом году). Это соответствует 2021 OWASP Топ-10 категория A06:2021 — Использование уязвимых и устаревших компонентов. Большинство организаций используют сочетание специально разработанного кода, коммерческого готового кода и компонентов с открытым исходным кодом для создания программного обеспечения, которое они продают или используют внутри компании. Часто такие организации имеют неофициальные реестры (или не содержат их) с подробным описанием того, какие именно компоненты используются в их программном обеспечении, а также с лицензиями, версиями и статусом исправлений для этих компонентов. Поскольку многие компании используют сотни приложений или программных систем, каждая из которых, вероятно, имеет от сотен до тысяч различных сторонних компонентов и компонентов с открытым исходным кодом, точная и актуальная программное обеспечение Спецификация материалов срочно необходимо для эффективного отслеживания этих компонентов. срочно необходимо для эффективного отслеживания этих компонентов.
  • Уязвимости с низким уровнем риска также могут быть использованы для облегчения атак. Семьдесят два процента уязвимостей, обнаруженных в ходе тестов, относятся к категории низкого или среднего риска. То есть обнаруженные проблемы не могут быть использованы злоумышленниками напрямую для получения доступа к системам или конфиденциальным данным. Тем не менее повторное обнаружение этих уязвимостей не является пустым занятием, поскольку даже уязвимости с меньшим риском могут быть использованы для облегчения атак. Например, подробные серверные баннеры, найденные в 49 % тестов DAST и 42 % пен-тестов, предоставляют такую ​​информацию, как имя сервера, тип и номер версии, которые могут позволить злоумышленникам выполнять целевые атаки на определенные технологические стеки.

Чтобы узнать больше, загрузите "Снимок уязвимости программного обеспечения: 10 наиболее распространенных уязвимостей веб-приложений» или прочитайте блоге.

###