研究发现 300% 的应用程序存在漏洞


Synopsys 最新发布了一份“2021 Software Vulnerability Snapshot”研究报告,基于对 2600 个软件或系统目标进行的 3900 次测试。其中,83% 的测试目标是 Web 应用程序或系统、12% 是移动应用程序、其余为源代码或网络系统/应用。参与测试的行业涵盖了软件和互联网、金融服务、商业服务、制造、媒体和娱乐以及医疗保健。

Synopsys 安全咨询副总裁 Girish Janardhanudu 称,"基于云的部署、现代技术框架和快速的交付速度迫使安全小组在软件发布时做出更快速的反应。由于市场上的应用安全资源不足,企业正在利用诸如 Synopsys 提供的应用测试服务,以便灵活地扩展其安全测试。我们看到在整个大流行期间,评估需求大量增加。"

报告数据显示,有 300% 的测试目标存在某种形式的漏洞,36% 的测试发现了高危或严重漏洞;还有 76% 发现的漏洞属于 OWASP Top 10 类别,而应用程序和服务器配置错误占所发现的整体漏洞的 21%。

在移动应用程序中,150% 的已发现漏洞与不安全的数据存储有关;这可能会使得攻击者可通过物理或恶意软件获得对移动设备的访问。还有 93% 的移动测试则发现了与不安全的通信有关的漏洞。

此外,在所进行的渗透测试中,有 55% 发现了易受攻击的第三方库。这一数据也突出表明,亟需一个软件材料清单来跟踪组件的使用情况。报告指出,尽管在测试中发现的漏洞中有 64% 被认为是最低、低或中等风险;但也不能掉以轻心,因为即使是这些漏洞也可以被利用来促进攻击。


相關推薦

2023-10-07

的软件,并探讨人工智能 (AI) 对软件开发的深远影响;还研究了开源供应、需求和安全之间错综复杂的相互作用。 报告跟踪了 Java (Maven)、JavaScript (npm)、Python (PyPI)、.NET (NuGet Gallery) 四大开源生态系统的开源应用增长情况。2022

2022-08-15

rani 指出,所有这些漏洞起作用的第一个要求是在 Electron 应用程序的 webview (渲染网站的部分)中执行 JavaScript。这可以通过 XSS、Open URL 重定向等漏洞或通过网站中的功能(如创建嵌入、markdown 等)来实现。在 Discord 和 Elemen

2022-09-23

安全公司 Trellix 的研究人员 Kasimir Schulz 发现了一个很容易被开发人员忽略的路径遍历(path traversal)漏洞,使得攻击者能够访问文件系统。经过进一步分析后,他发现这是一个早在 2007 年就已经披露过的 Python tarfile 包中的漏

2021-12-17

0 发布,安全漏洞已得到解决 不过安全公司 Praetorian 的研究人员昨日表示,2.15.0 存在一个更严重的漏洞——信息泄露漏洞,可用于从受影响的服务器下载数据。 与此同时,Praetorian 已将该漏​​洞的所有技术细节发送给

2023-07-26

何处理日益增加的成本和频率的数据泄露方面存在分歧。研究发现,虽然 95% 的研究组织经历过不止一次的数据泄露事件,但被泄露的组织更有可能将事件成本转嫁给消费者 (57%),而不是增加安全投资 (51%)。 报告中的一些主要

2022-01-06

为现代网站严重依赖 JS 和 CSS,删除这些文件会真正影响应用程序的可用性。” 多个 Web 缓存漏洞导致拒绝服务(DoS)攻击。缓存服务器使用一些 headers 作为 keys 来存储和检索 URL 请求。通过在 unkeyed headers 中使用无效值,Ladunc

2021-12-21

来自 Google Open Source Insights Team 的安全研究人员通过调查 Maven Central 中所有软件包的所有版本,以更好地了解最近曝出的 Log4j 漏洞对整个 JVM 语言生态系统的影响,同时还跟踪了正在进行的缓解受影响软件包的工作。 研究人

2024-04-02

脚本中从上述数据里提取内容修改编译结果。就目前初步研究显示,生成的代码会挂钩OpenSSH的RSA加密相关函数,使得攻击者可以通过特定方式绕过RSA签名验证过程,其它可能的影响仍在持续研究中。 作为一款流行的压缩软件

2023-10-09

洞披露不充分,使腾讯QQ等数百万应用面临潜在风险 安全研究员指出,苹果和谷歌近期披露的产品零日漏洞不完整,可能隐藏了一个上游开源库libwebp的漏洞,使腾讯QQ等数百万应用面临“巨大的盲点”,处于被攻击的危险之中。

2022-04-25

长期不维护也就伴随着风险。 网络安全公司 Check Point 的研究人员近日发现,开源的 ALAC 存在严重的漏洞,该漏洞允许攻击者在受影响的设备上进行远程代码执行(RCE)攻击。而联发科和高通这两大移动芯片制造商都在旗下的音

2024-04-09

脚本中从上述数据里提取内容修改编译结果。就目前初步研究显示,生成的代码会挂钩 OpenSSH 的 RSA 加密相关函数,使得攻击者可以通过特定方式绕过 RSA 签名验证过程,其它可能的影响仍在持续研究中。作为一款流行的压缩软

2022-02-21

来自谷歌安全研究团队 Project Zero 的研究表明,Linux 开发者在修复安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。 从 2019 年到 2021 年,Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些  bug 中的 351

2023-05-21

主密码或选择密钥文件就可以解锁整个数据库,但近日有研究人员发现,KeePass 的主密码有被泄漏的风险。 这个漏洞的 CVE ID 为 CVE-2023-32784,影响了 KeePass 2.x 版本,不法分子可以利用这个漏洞来检索 KeePass 的明文主密码,即使

2022-08-24

或者在极端情况下执行远程代码执行 (RCE)。 微软的一名研究人员在今年 4 月下旬向谷歌报告了该漏洞。谷歌将其分配为 CVE-2022-2587,CVSS 得分 9.8(程度归类为严重)并描述为越界写入,相关补丁已在 6 月发布。 ChromeOS 是一个使