该报告调查了来自全球超过939个客户的Web漏洞,其来源是迄今为止最大的数据集,对客户应用程序执行了超过230亿次安全检查后,发现了超过28万个可直接带来风险的漏洞。
主要发现:
•远程代码执行(RCE)、跨站点脚本(XSS)和SQL注入(SQLi)都是罪魁祸首,它们的频率每年都在增加或徘徊在同一个惊人数字的附近。这些漏洞可能导致后端数据受损、会话被劫持或服务被强制执行等后果。
•远程代码执行一直是恶意攻击者的终极目标,由于去年的Log4Shell漏洞而变得尤为突出,自2018年以来一直稳步增长,频率跃升了5%。
•在2020年略有改善后,跨站点脚本(XSS)在2021年的发生率同比上升6%,增长速度有所放缓。
数据显示,Web应用程序中大量常见且广为人知的漏洞继续激增,这些漏洞的持续存在给各个行业的组织都带来了严重风险。有两个行业的所遭受的SQL注入攻击数量高于平均水平——35%的教育机构和32%的政府组织至少经历过一次SQLi,这反映出这些行业仍在使用的陈旧代码需要变得更加现代化,并且应马上着手解决开发人员的知识差距问题。
尽管直接带来风险的漏洞出现频率并没有减少,但每个AppSec程序都有可以改善安全状况的基本要素。对于许多没有足够安全措施的组织来说,漏洞的持续存在可归因于安全措施的失效、缺乏全面的扫描以及网络安全人才的缺口,虽然这些压力源会增加风险,但采用主动和全面的方法实现应用程序安全性、优先考虑安全设计、将安全性融入应用程序架构的组织将显著降低风险。
Invicti总裁兼CEO表示。即使是众所周知的漏洞,在Web应用程序中依然普遍存在。他认为现在是组织必须要掌握其安全态势的时候了,而做到这一点的唯一方法是确保安全性植根于组织文化、流程和工具的DNA中,以便于保证创新和安全性能够齐头并进。
京公网安备 11010802033237号
