新思科技研究发现97%的应用存在漏洞 其中有36%正受严重或高风险漏洞的影响

新思科技近日发布了《2021年软件漏洞：新思科技应用安全测试服务分析》报告（2021 Software Vulnerability Snapshot: An Analysis by Synopsys Application Security Testing Services, 以下简称为报告）。该报告分析了2020年对2,600个目标（例如软件或系统）进行的3,900次测试的数据。这些数据由新思科技安全顾问在评估中心为客户进行的测试汇编而成，包括渗透测试、动态应用安全测试和移动应用安全分析，模拟真实世界中攻击者的行为以测试正在运行的应用。

其中83%的测试目标是网页应用或系统，12%是移动应用，其余的则是源代码或网络系统/程序。测试的行业包括软件和互联网、金融服务、商业服务、制造业、媒体和娱乐业以及医疗保健。

新思科技软件质量与安全部门安全顾问副总裁Girish Janardhanudu表示：“现在，基于云的部署、现代技术框架和快速的交付速度正压迫安全部门做出更快的反应。由于市场上AppSec资源不足，各企业正在利用新思科技等提供的应用安全测试服务，以便灵活地扩展其安全测试。我们已经看到，在疫情期间，安全评估需求大幅增加。”

在3,900次测试中，97%的目标被发现存在某种形式的漏洞；30%的目标包含高风险漏洞；6%的目标存在极高风险漏洞。结果表明，安全测试的理想方法是利用广泛可用工具来帮助确保应用或系统没有漏洞。例如，28%的测试目标曾遭受过跨站点脚本(XSS)攻击。这是影响web应用的最普遍和最具破坏性的高/关键风险漏洞之一。许多XSS漏洞仅在应用运行时出现。

报告的其他重点：

• 在76%的目标中发现了2021年OWASP前10大漏洞。应用程序和服务器配置错误占测试中发现的全部漏洞的21%，代表性的有OWASP A05:2021 – 安全配置错误类别。另外，发现的总漏洞中有19%与OWASP A01:2021 – 损坏的访问控制类别有关。
• 不安全的数据存储和通信漏洞困扰着移动应用程序。在移动测试发现的漏洞中，有80%与不安全的数据存储有关。这些漏洞使得攻击者可以通过物理方式（即访问被盗设备）或者恶意软件访问移动设备。移动测试发现的漏洞中还有53%与不安全的通信方式相关。
• 低风险漏洞甚至被利用来促成攻击。通过测试发现，其中64%的漏洞被认为是极小、低等或中等风险。也就是说，攻击者无法直接利用所发现的漏洞去访问系统或敏感数据。尽管如此，这些暴露在外的漏洞并不能就这样置之不理，因为即使是低风险漏洞也可以被利用来促成攻击。例如，测试中发现有49%的verbose服务器横幅能提供服务器名称、类型和版本号等信息，这可能使攻击者借助特定的技术堆栈执行有针对性的攻击。
• 对软件物料清单的迫切需求。值得注意的是，在新思科技应用程序安全测试服务进行的渗透测试中，发现了有18%的系统在使用易受攻击的第三方库。这与2021年OWASP前10大漏洞里的A06:2021 – 易受攻击和过时的组件相一致。大多数组织一般会混合使用定制代码、商业现成代码和开源组件来创建其内部销售或直接使用的软件。通常，这些组织有非正规的或甚至没有详细的清单，来说明其软件正在使用哪些组件，以及这些组件的许可证、版本和补丁状态。由于许多公司在使用数百个应用程序或软件系统，每个公司本身可能有数百至数千个不同的第三方和开源组件，因此迫切需要一份准确、全新的软件物料清单来有效追踪这些组件。