深圳市中贤在线技术有限公司

电话:400 778 1088
手机:400 778 1088
邮箱:zhongxian100@qq.com
地址:深圳市龙华区观澜街道观光路君澜大厦1017
   当前位置:首页 >新闻资讯 > 行业动态 > 高危网络漏洞数量持续上升 安全与创新需齐头并进
高危网络漏洞数量持续上升 安全与创新需齐头并进

严重的Web漏洞的增加以及建议高管需要将应用程序安全性和数字化转型工作交织在一起以降低风险。

微信图片_20220411163424.png

来自全球超过939个客户的Web漏洞,其来源是迄今为止最大的数据集,对客户应用程序执行了超过230亿次安全检查后,发现了超过28万个可直接带来风险的漏洞。


主要发现:


远程代码执行(RCE)、跨站点脚本(XSS)和SQL注入(SQLi)都是罪魁祸首,它们的频率每年都在增加或徘徊在同一个惊人数字的附近。这些漏洞可能导致后端数据受损、会话被劫持或服务被强制执行等后果。

远程代码执行一直是恶意攻击者的终极目标,由于去年的Log4Shell漏洞而变得尤为突出,自2018年以来一直稳步增长,频率跃升了5%。

在2020年略有改善后,跨站点脚本(XSS)在2021年的发生率同比上升6%,增长速度有所放缓。

数据显示,Web应用程序中大量常见且广为人知的漏洞继续激增,这些漏洞的持续存在给各个行业的组织都带来了严重风险。有两个行业的所遭受的SQL注入攻击数量高于平均水平——35%的教育机构和32%的政府组织至少经历过一次SQLi,这反映出这些行业仍在使用的陈旧代码需要变得更加现代化,并且应马上着手解决开发人员的知识差距问题。


尽管直接带来风险的漏洞出现频率并没有减少,但每个AppSec程序都有可以改善安全状况的基本要素。对于许多没有足够安全措施的组织来说,漏洞的持续存在可归因于安全措施的失效、缺乏全面的扫描以及网络安全人才的缺口,虽然这些压力源会增加风险,但采用主动和全面的方法实现应用程序安全性、优先考虑安全设计、将安全性融入应用程序架构的组织将显著降低风险。


即使是众所周知的漏洞,在Web应用程序中依然普遍存在。他认为现在是组织必须要掌握其安全态势的时候了,而做到这一点的唯一方法是确保安全性植根于组织文化、流程和工具的DNA中,以便于保证创新和安全性能够齐头并进。