ソフトウェア脆弱性スナップショット
web アプリケーションによく見られる10 の脆弱性
概要
シノプシス サイバーセキュリティ・リサーチセンター(CyRC)は、2021 年に実施された数千件の商用ソフトウェアのセキュリティ・テストのデータを分析しました。テストのほとんど(95%)は、ペネトレーション・テスト(ペンテスト)、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MAST)など、侵入型のブラックボックスまたはグレーボックス・テストでした。
クロスサイト・スクリプティング、リモートコード実行、SQLインジェクション、クリックジャックなど、商用ソフトウェアに最も多く見られた脆弱性、および自動テストのみに依存すると組織がサイバー攻撃やデータ侵害のリスクにさらされる理由について、このレポートをダウンロードしてご確認ください。
調査した業種の内訳
ソフトウェアとインターネット、金融サービス/保険、ビジネス・サービス、製造、メディア/エンターテインメント、小売、医療など、16の業種を対象としています。
実施したテスト
アプリケーション・セキュリティ(AppSec)テストには、ペネトレーション・テスト、動的アプリケーション・セキュリティ・テスト(DAST)、モバイル・アプリケーション・セキュリティ・テスト(MASTを)などがあり、すべて実際の攻撃者と同じような方法で動作中のアプリケーションを調査するように設計されています。
主な調査結果
この報告書は、ソフトウェアのリスクを管理するために、なぜ、あらゆる種類のアプリケーション・セキュリティ・テストが不可欠であるのかを明らかにしています。静的アプリケーション・セキュリティ・テスト(SAST)のような「ホワイトボックス」ツールは、ソフトウェア開発ライフサイクルの早い段階でセキュリティ問題を明らかにすることができますが、SASTでは実行時のセキュリティ脆弱性を明らかにすることはできません。同様に、いくつかの脆弱性は、自動化されたツールでは検出できず、発見するためには人間の監視が必要です。
CyRCが実施した約4,400件のテストのうち
- 95%が脆弱性を発見
- 25%が深刻度の高い、または重要な脆弱性を発見
- 78%の脆弱性がOWASP Top 10カテゴリに分類された
レポートをダウンロード
ソフトウェア脆弱性スナップショット
web アプリケーションによく見られる10 の脆弱性
