分析10种最常见的Web应用漏洞
95%的应用存在漏洞,其中25%受到严重或高风险漏洞影响
软件是大多数企业与客户交互的方式。很明显,企业不仅应该使用静态分析和软件组成分析工具来测试web应用中的常见缺陷、漏洞和错误配置;而且还应该以攻击者探测它们的方式来测试其正在运行的web应用。全方位的应用安全测试是当今世界管理软件风险的重要手段之一。
新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2022年软件漏洞快照》报告。该报告审查了对 2,700多 个目标软件进行的 4,300 多次安全测试的结果,包括 Web 应用、移动应用、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。
研究发现,82% 的测试目标是 Web 应用或系统,13% 是移动应用,其余是源代码或网络系统/应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。
在进行的 4,300 多次测试中,新思科技发现 95% 的目标应用存在某种形式的漏洞(比去年的调查结果减少了 2%); 20%存在高危漏洞(比去年减少 10%);4.5%存在严重漏洞(比去年减少 1.5%)。
结果表明,安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。例如,总测试目标中有 22% 暴露于跨站点脚本 (XSS) 漏洞。这是影响 Web 应用最普遍和最具破坏性的高/严重风险漏洞之一。许多 XSS 漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低 6%。这意味着企业正在采取积极措施,以减少其应用中的 XSS 漏洞。
新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出:“此研究报告强调,采用诸如DAST 和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具应该纳入其中。”
《2022年软件漏洞快照》报告还发现:
点击这里,下载《2022年软件漏洞快照》报告。
好文章,需要你的鼓励
TechCrunch Disrupt 2025 AI舞台将汇聚塑造科技未来的领军人物,顶尖风投将揭示在快速变化的AI领域获得融资的关键。来自Apptronik、ElevenLabs、Hugging Face、Runway等创新企业的领导者将分享前沿洞见,探讨AI如何重塑创意过程、改变物理世界、变革国防安全和重新定义人际关系。10月27-29日,五大主题舞台将在旧金山呈现科技创新的未来图景。
西班牙研究团队提出了一种创新的AI自我纠错方法SSC,让人工智能学会识别和修正规则中的漏洞。当AI发现自己在钻空子获得高分时,它会反思规则的合理性并主动改进。实验显示这种方法将AI的"钻空子"行为从50-70%降低到3%以下,同时提升了回答质量。这项技术有望让AI从被动执行指令转变为能够质疑和改进指令的智能协作伙伴。
英超联赛与微软达成五年战略合作伙伴关系,推出AI驱动的Premier League Companion服务,为全球球迷提供个性化体验。该服务利用Azure OpenAI技术,整合30多个赛季的统计数据、30万篇文章和9000个视频,帮助球迷发现和了解更多内容。未来还将为Fantasy Premier League引入个人助理经理功能,并通过Azure AI优化比赛直播体验和赛后分析。
这篇文章详细解析了Long、Shelhamer和Darrell在2015年CVPR会议上发表的开创性研究"全卷积网络用于语义分割"。文章以通俗易懂的方式,将这项复杂的技术比作艺术家的绘画过程,解释了如何让计算机不仅识别图像中有什么物体,还能精确标出每个物体的位置和边界。研究团队通过将传统分类网络改造为全卷积形式,并巧妙运用上采样和跳跃连接技术,实现了高效准确的像素级图像理解。这一突破为自动驾驶、医学影像和增强现实等领域带来了革命性变化,奠定了现代计算机视觉的重要基础。