2023年软件漏洞快照

三年来10类最常见的Web和软件应用漏洞分析 目录 概述............................................................................................................................................................... 1这些测试中发现的安全问题..................................................................................................................... 1高危和超危漏洞......................................................................................................................................... 2定义漏洞的严重级别............................................................................................................................. 3新思科技安全测试服务概述.......................................................................................................................... 3新思科技安全测试详解............................................................................................................................. 5渗透测试............................................................................................................................................... 5DAST...................................................................................................................................................... 6MAST..................................................................................................................................................... 6漏洞概述........................................................................................................................................................ 7安全问题详解................................................................................................................................................. 9易受攻击的第三方库的危险........................................................................................................................ 14启发和建议................................................................................................................................................... 15 概述 在编写该《软件漏洞快照》报告时，新思CyRC的研究人员和新思安全测试服务部的顾问使用了三年来对商业软件系统和应用进行测试的匿名数据。 新思科技测试发现了仍对Web和软件应用安全造成重大威胁的已知漏洞，尤其是以下几类最常见的漏洞： •信息披露/泄露和隐私•配置错误•传输层保护不足 这些测试凸显出易受攻击的第三方库带来的持续危险，以及软件开发环境对强大的软件供应链安全的需求—在软件开发中，超过90%的软件包含开源代码。下面的数据还显示了将应用安全测试扩展到基本静态分析之外的价值。 如果您是软件安全项目的负责人，那么，深入了解软件风险可以帮助您制定更有效的安全改进策略。如果您是从战术的角度考虑安全问题，则可以使用本报告中的信息来展示需要通过第三方协助以扩展安全测试的业务案例。 测试中发现的安全问题 在2020年，97%的测试发现了漏洞。到2021年，这一比例降至95%，而2022年进一步降至83%。我们收集的三年数据显示，92%的测试在目标应用中发现了漏洞。 总体漏洞的持续减少是一个令人鼓舞的迹象，说明开发团队在编写无误代码方面取得了进步，而且诸如代码审查、自动测试和持续集成等实践也有助于减少常见的编程错误。 此外，编程语言和集成开发环境(IDE)的发展也为开发者提供了一些内置的检查和工具，可以帮助他们及时发现并修复错误，避免造成严重问题。对于一些受欢迎的开源项目，许多社区也加强了代码审查，提高了代码质量标准。 然而，对于一些不太受关注或者已经过时的开源项目，就没有这么幸运了。据一些报告显示，在2022年维护的Java和JavaScript开源项目中，有近20%的项目已经停止了维护，使得这些项目面临漏洞以及被利用的风险。 高危和超危漏洞 在这三年中，27%的测试发现了高危漏洞，6.2%的测试发现了超危漏洞。其中，跨站脚本(XSS)在新思科技的多年测试中一直都是最常见的高危漏洞之一。同样，2020到2022年间，SQL注入一直位列最常见的超危漏洞之首。 2020至2022年间，高危和超危漏洞的占比 按年份细分，我们发现在2022年的测试中，高危漏洞相比2021年略有增加（25% vs. 20%），相比2020年略有减少（25% vs. 30%），但超危漏洞(6.7%)均高于2021年(4.5%)和2020年(6.1%)。 许多中危、高危和超危漏洞都需要多层测试才能被发现。 这些数字反映出，高危和超危漏洞过去几年一直都在增加，并在2022年达到了历史最高水平。在2022年报告的CVE中，约有80%属于中危或高危漏洞，有16%属于超危漏洞。虽然开发团队的努力使总体漏洞数量减少，但数据表明，许多中危、高危和超危漏洞都需要更强有力的测试才能被发现，如渗透测试。 图1说明了动态测试，比如一些类型的渗透测试和动态应用安全测试(DAST)，是对静态应用安全测试(SAST)的有效补充。通过对一些重新测试进行抽样检查（即对安装了特定修复包的软件进行快速验证），我们发现在这三年期间，客户的超危、高危和中危漏洞都在逐年减少。例如，2022年检测到的中危漏洞减少了60%，高危和超高危漏洞分别减少了38%和28%。 定义漏洞的严重级别 漏洞的严重级别根据CVSS v3标准评定，反映了漏洞对网络安全构成的风险。超危漏洞的CVSS分数在9.0到10.0之间，而且有已经公开或正在被攻击者使用的漏洞或存在安全缺陷的代码，例如命令、代码和SQL注入漏洞。 高危漏洞的CVSS分数在7.0到8.9之间，通常比超危漏洞更难被利用。但是，考虑到存在此类漏洞的应用/系统的业务关键性和威胁环境等因素，高危漏洞也需要及时检查和修复。 随着越来越多的攻击者开始使用自动化漏洞利用工具，可以在几秒钟内攻击数千个系统，尤其是考虑到超过一半的漏洞在披露后一周内即被利用，因此，高危和超危漏洞必须在发现后及时修复。 金融服务和保险29% 应用中的安全或漏洞问题不仅会影响组织机构本身（或其客户）的业务运营，而且还会影响整个软件开发生命周期乃至整条软件供应链。 商业服务12% 事实上，新思科技《2023年全球DevSecOps现状调查》报告指出，超过80%的受访者表示，解决严重的安全/漏洞问题已对其组织的2022-2023软件交付计划产生了影响。 新思科技安全测试服务概述 开发团队必须以前所未有的速度构建越来越复杂的软件，但训练有素的技术人员严重不足。 虽然属于不同的行业和组织，但新思科技安全测试服务部的所有客户都有一个共同需求—扩大测试的覆盖范围。他们要求开发团队以前所未有的速度构建越来越复杂的软件，但却面临训练有素的技术人员严重不足的问题，尤其是在软件安全方面。 本报告所涉及行业的三年平均值（2020至2022年） 新思科技在一份关于影响软件安全的策略、工具和实践的报告中指出，在1,000名受访者中，超过33%的受访者表示，安全培训不足是主要障碍，紧随其后的是安全人员短缺(31%)。这33%的受访者还表示，外部顾问正在帮助其组织进行安全测试。 新思科技报告显示 委托第三方安全测试人员，从客观的角度评估组织机构的安全状况，这是非常有益的。事实上，《软件安全构建成熟度模型(BSIMM)报告》指出，在参与BSIMM项目的组织中，有超过88%聘请外部渗透测试人员来增强其安全活动，以帮助他们发现内部测试可能遗漏的问题，找出安全实践中的薄弱点。 即使您认为贵组织的安全测试覆盖范围足够，可能也需要对内部测试进行验证，确保内部安全控制是有效的。或者，您可能需要根据法规、客户或其他强制性要求而必须开展第三方评估。例如，PCIDSS4.0第11项对定期开展渗透测试提出了明确要求。需要进行正式审计的商户和所有服务提供商都必须满足这项要求。 《健康保险可携带性与责任法案》(HIPAA)要求医疗从业者采取技术措施保护电子健康信息的机密性和安全性。虽然HIPAA没有明确规定必须进行渗透测试或漏洞扫描，但明确规定相关组织机构必须开展风险分析，这就意味着这些组织机构必须对其安全控制措施进行测试。 HIPAA在“评估”部分特别提到了“定期技术和非技术评估”的方法。在其HIPAA指南中，美国国家标准与技术研究院(NIST)建议在合理和适当的情况下，应通过联合开展外部和/或内部渗透测试来满足这些技术评估要求。 在金融服务领域，金融业监管局(FINRA)为金融机构制定了网络安全规则，并建议定期以及在重大事件发生后开展渗透测试，例如，在公司的基础设施或访问控制机制发生重大变化之后。《格雷姆-里奇-比利利法案》(GLBA)明确要求金融机构自2022年起（最晚到2023年6月）每年开展渗透测试和漏洞扫描，作为其安全活动的一部分。 新思科技安全测试详解 新思科技测试是模拟真实世界的攻击者对运行中的应用进行探测，包括“黑盒”和“灰盒”测试，其目的是找出漏洞，然后根据需要进行分类和修复。黑盒测试从局外人的角度评估测试目标的安全状况，灰盒测试则是模拟有凭证的认证用户—本质上是在黑盒测试的基础上增加更深入的洞察。这些测试主要针对Web (82%)和移动(13%)系统/应用，也涵盖少量的网络(3.0%)和源代码(2.0%)系统/应用。 过去三年开展的测试类型 渗透测试 66%的测试是渗透测试—对计算机系统进行授权的模拟攻击，以评估其安全性。渗透测