分析10种最常见的Web应用漏洞
95%的应用存在漏洞,其中25%受到严重或高风险漏洞影响
软件是大多数企业与客户交互的方式。很明显,企业不仅应该使用静态分析和软件组成分析工具来测试web应用中的常见缺陷、漏洞和错误配置;而且还应该以攻击者探测它们的方式来测试其正在运行的web应用。全方位的应用安全测试是当今世界管理软件风险的重要手段之一。
新思科技(Synopsys, Nasdaq: SNPS)近日发布了《2022年软件漏洞快照》报告。该报告审查了对 2,700多 个目标软件进行的 4,300 多次安全测试的结果,包括 Web 应用、移动应用、源代码文件和网络系统(即软件或系统)。大多数安全测试是侵入式“黑盒”或“灰盒”测试,包括渗透测试、动态应用安全测试 (DAST) 和移动应用安全测试 (MAST),旨在探测在真实环境不法分子会如何攻击正在运行的应用。
研究发现,82% 的测试目标是 Web 应用或系统,13% 是移动应用,其余是源代码或网络系统/应用。参与测试的行业包括软件和互联网、金融服务、商业服务、制造业、消费者服务和医疗保健。
在进行的 4,300 多次测试中,新思科技发现 95% 的目标应用存在某种形式的漏洞(比去年的调查结果减少了 2%); 20%存在高危漏洞(比去年减少 10%);4.5%存在严重漏洞(比去年减少 1.5%)。
结果表明,安全测试的最佳方法是利用广泛的可用工具,包括静态分析、动态分析和软件组成分析,以帮助确保应用或系统没有漏洞。例如,总测试目标中有 22% 暴露于跨站点脚本 (XSS) 漏洞。这是影响 Web 应用最普遍和最具破坏性的高/严重风险漏洞之一。许多 XSS 漏洞发生在应用运行时。好消息是,今年的调查结果中发现的风险比去年低 6%。这意味着企业正在采取积极措施,以减少其应用中的 XSS 漏洞。
新思科技软件质量与安全部门安全咨询副总裁Girish Janardhanudu指出:“此研究报告强调,采用诸如DAST 和渗透测试等侵入式黑盒测试技术,可以有效发现软件开发生命周期中的漏洞。一个全面的应用安全测试方案应该将这类安全工具应该纳入其中。”
《2022年软件漏洞快照》报告还发现:
点击这里,下载《2022年软件漏洞快照》报告。
好文章,需要你的鼓励
最新数据显示,Windows 11市场份额已达50.24%,首次超越Windows 10的46.84%。这一转变主要源于Windows 10即将于2025年10月14日结束支持,企业用户加速迁移。一年前Windows 10份额还高达66.04%,而Windows 11仅为29.75%。企业多采用分批迁移策略,部分选择付费延长支持或转向Windows 365。硬件销售受限,AI PC等高端产品销量平平,市场份额提升更多来自系统升级而非新设备采购。
清华大学团队开发出LangScene-X系统,仅需两张照片就能重建完整的3D语言场景。该系统通过TriMap视频扩散模型生成RGB图像、法线图和语义图,配合语言量化压缩器实现高效特征处理,最终构建可进行自然语言查询的三维空间。实验显示其准确率比现有方法提高10-30%,为VR/AR、机器人导航、智能搜索等应用提供了新的技术路径。
新一代液态基础模型突破传统变换器架构,能耗降低10-20倍,可直接在手机等边缘设备运行。该技术基于线虫大脑结构开发,支持离线运行,无需云服务和数据中心基础设施。在性能基准测试中已超越同等规模的Meta Llama和微软Phi模型,为企业级应用和边缘计算提供低成本、高性能解决方案,在隐私保护、安全性和低延迟方面具有显著优势。
IntelliGen AI推出IntFold可控蛋白质结构预测模型,不仅达到AlphaFold 3同等精度,更具备独特的"可控性"特征。该系统能根据需求定制预测特定蛋白质状态,在药物结合亲和力预测等关键应用中表现突出。通过模块化适配器设计,IntFold可高效适应不同任务而无需重新训练,为精准医学和药物发现开辟了新路径。