分析10种最常见的Web应用漏洞
95%的应用存在漏洞,其中25%受到严重或高风险漏洞影响
软件是大多数企业与客户交互的方式。很明显,企业不仅应该使用静态分析和软件组成分析工具来测试web应用中的常见缺陷、漏洞和错误配置;而且还应该以攻击者探测它们的方式来测试其正在运行的web应用。全方位的应用安全测试是当今世界管理软件风险的重要手段之一。
新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2022年软件漏洞快照》报告。该报告审查了对 2,700多 个目标软件进行的 4,300 多次安全测试的结果,包括 Web 应用、移动应用、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。
研究发现,82% 的测试目标是 Web 应用或系统,13% 是移动应用,其余是源代码或网络系统/应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。
在进行的 4,300 多次测试中,新思科技发现 95% 的目标应用存在某种形式的漏洞(比去年的调查结果减少了 2%); 20%存在高危漏洞(比去年减少 10%);4.5%存在严重漏洞(比去年减少 1.5%)。
结果表明,安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。例如,总测试目标中有 22% 暴露于跨站点脚本 (XSS) 漏洞。这是影响 Web 应用最普遍和最具破坏性的高/严重风险漏洞之一。许多 XSS 漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低 6%。这意味着企业正在采取积极措施,以减少其应用中的 XSS 漏洞。
新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出:“此研究报告强调,采用诸如DAST 和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具应该纳入其中。”
《2022年软件漏洞快照》报告还发现:
点击这里,下载《2022年软件漏洞快照》报告。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。