1、软件漏洞快照CyRC新思安全测试服务与新思网络安全研究中心(CyRC)联合分析10种最常见的Web应用漏洞 |2目录概述.1谁是本报告的读者.2谁是第三方应用安全测试的用户.3本报告提及的测试类型.3新思科技AST服务测试中发现的安全问题.4基于OWASP Top 10的漏洞分类.6OWASP类别详解.8使用全系列的安全工具进行测试.9WhiteHat Dynamic.10即使低风险漏洞也可能被利用而达成攻击.11脆弱的第三方库所带来的危险.12基于软件物料清单管理供应链风险.12大规模管理风险需要全面的AppSec计划.13建议.14关于CyRC研究.14 |1概述为了制作本年度的 应用漏洞

2、快照 报告，新思科技网络安全研究中心(CyRC)的研究人员对 新思科技应用安全测试(AST)服务中测试的商业软件系统和应用的匿名数据进行了研究。今年的报告包括2021年对2,711个目标（即软件或系统）进行的4,398次测试所获得的数据。几乎所有的测试(95%)都是侵入性的黑盒测试和灰盒测试，包括渗透测试、动态应用安全测试(DAST)和移动应用安全测试(MAST)分析。黑盒测试是从外部视角考察目标的安全状态，灰盒测试则是模拟经过验证、拥有凭证的用户 本质上是通过更深入的洞察来扩展黑盒测试。新思科技AST服务测试的目标是像真实世界中的攻击者一样探测正在运行的应用，从而识别漏洞并进行必要的分类和修

3、复。被测目标主要是web(82%)和移动(13%)应用，其余5%为源代码或网络系统/应用测试。被测目标主要来自软件和互联网(32%)、金融服务(26%)、商业服务(18%)、制造(7%)、消费者服务(7%)以及医疗健康(6%)行业。其余4%的被测目标来自旅游和休闲、教育、能源、公用事业和其他垂直行业。新思科技AST（应用安全测试）服务的目标是像真实世界中的攻击者一样探测正在运行的应用，从而识别漏洞并进行必要的分类和修复。本次研究涉及的行业软件和互联网、系统集成和服务、计算机和电子金融服务、保险商业服务制造、运输和储存、批发和分销消费者服务、媒体和娱乐、零售、电子商务医疗健康、制药和生物科技其他

4、32%26%18%7%7%6%4%|2谁是本报告的读者如果您是软件安全计划负责人，那么，深入了解软件风险可以帮助您做好安全规划，实现安全工作的战略性改进。如果您正在从战术角度审视安全计划，则可以使用本报告中的信息来制作业务案例，以便在软件安全计划中扩展安全测试，例如，通过增强静态应用安全测试(SAST)和软件组成分析(SCA)，或者通过对正在运行的应用进行DAST、渗透、模糊或MAST测试。Forrester报告 2022年应用安全状态 指出，web应用漏洞是第三大最常见的攻击（见图1）。面对如此严重的问题，企业显然需要像攻击者一样测试其正在运行的web应用，并在漏洞被外部心怀叵测之人利用之前

5、识别并消除它们。在参与BSIMM项目的企业中，88%的企业借助外部渗透测试服务来发现问题。“攻击是如何开展的？”软件漏洞利用 供应链/第三方破坏Web应用漏洞利用(SQLi,XSS,RFI)网络钓鱼社会工程使用薄弱或被盗的凭据 战略性网络妥协恶意垃圾邮件管理员工具滥用利用丢失/被盗的资产 35%33%32%31%30%29%27%26%26%24%图 1.Web应用漏洞利用攻击占攻击总数的30%|3谁是第三方应用安全测试的用户企业出于各种原因使用第三方应用安全测试服务，其中最主要的原因之一就是缺乏训练有素或经验丰富的安全专业人员。某些企业可能还希望验证自己的测试，并确保其内部安全控制机制运行正

6、常。某些企业可能需要增强软件安全测试能力，但不想增加专用工具和人员预算。还有一些企业可能为了满足强制性的监管或业务需求而进行第三方评估。例如，支付卡行业数据安全标准(PCI DSS)要求定期或在软件或系统发生重大变更之后进行渗透测试。2022年 BSIMM13趋势与洞察报告 指出，在参与软件安全构建成熟度模型(BSIMM)项目的企业中，有88%使用外部的渗透测试服务来发现问题。BSIMM项目旨在研究企业采用怎样的策略将安全性构建到软件开发中。这些测试可以发现内部测试可能遗漏的问题，并可能揭示企业安全工具集中的薄弱环节。例如，如果静态分析工具不能捕获在DAST或渗透测试期间出现的安全缺陷，那么，