1、2023年 软件漏洞快照 报告本报告由新思科技安全测试服务部与新思科技网络安全研究中心(CyRC)联合编制三年来10类最常见的Web和软件应用漏洞分析CyRC |2目录概述 .1这些测试中发现的安全问题 .1高危和超危漏洞.2定义漏洞的严重级别.3新思科技安全测试服务概述.3新思科技安全测试详解.5渗透测试 .5DAST.6MAST.6漏洞概述.7安全问题详解.9易受攻击的第三方库的危险.14启发和建议.15 |1202020212022发现漏洞的测试占比 97%95%83%概述 在编写该 软件漏洞快照 报告时，新思CyRC的研究人员和新思安全测试服务部的顾问使用了三年来对商业软件系统和应用进

2、行测试的匿名数据。新思科技测试发现了仍对Web和软件应用安全造成重大威胁的已知漏洞，尤其是以下几类最常见的漏洞：信息披露/泄露和隐私 配置错误 传输层保护不足 这些测试凸显出易受攻击的第三方库带来的持续危险，以及软件开发环境对强大的软件供应链安全的需求 在软件开发中，超过90%的软件包含开源代码。下面的数据还显示了将应用安全测试扩展到基本静态分析之外的价值。如果您是软件安全项目的负责人，那么，深入了解软件风险可以帮助您制定更有效的安全改进策略。如果您是从战术的角度考虑安全问题，则可以使用本报告中的信息来展示需要通过第三方协助以扩展安全测试的业务案例。测试中发现的安全问题 在2020年，97%的

3、测试发现了漏洞。到2021年，这一比例降至95%，而2022年进一步降至83%。我们收集的三年数据显示，92%的测试在目标应用中发现了漏洞。总体漏洞的持续减少是一个令人鼓舞的迹象，说明开发团队在编写无误代码方面取得了进步，而且诸如代码审查、自动测试和持续集成等实践也有助于减少常见的编程错误。此外，编程语言和集成开发环境(IDE)的发展也为开发者提供了一些内置的检查和工具，可以帮助他们及时发现并修复错误，避免造成严重问题。对于一些受欢迎的开源项目，许多社区也加强了代码审查，提高了代码质量标准。然而，对于一些不太受关注或者已经过时的开源项目，就没有这么幸运了。据一些报告显示，在2022年维护的Ja

4、va和JavaScript开源项目中，有近20%的项目已经停止了维护，使得这些项目面临漏洞以及被利用的风险。|2高危和超危漏洞在这三年中，27%的测试发现了高危漏洞，6.2%的测试发现了超危漏洞。其中，跨站脚本(XSS)在新思科技的多年测试中一直都是最常见的高危漏洞之一。同样，2020到2022年间，SQL注入一直位列最常见的超危漏洞之首。按年份细分，我们发现在2022年的测试中，高危漏洞相比2021年略有增加（25%vs.20%），相比2020年略有减少（25%vs.30%），但超危漏洞(6.7%)均高于2021年(4.5%)和2020年(6.1%)。许多中危、高危和超危漏洞都需要多层测试才

5、能被发现。这些数字反映出，高危和超危漏洞过去几年一直都在增加，并在2022年达到了历史最高水平。在2022年报告的CVE中，约有80%属于中危或高危漏洞，有16%属于超危漏洞。虽然开发团队的努力使总体漏洞数量减少，但数据表明，许多中危、高危和超危漏洞都需要更强有力的测试才能被发现，如渗透测试。202220212020超危28%54%77%高危38%46%63%中危60%64%72%图1.与原始测试相比，后续重复测试中发现的漏洞的减少情况（百分比）图1说明了动态测试，比如一些类型的渗透测试和动态应用安全测试(DAST)，是对静态应用安全测试(SAST)的有效补充。通过对一些重新测试进行抽样检查（

6、即对安装了特定修复包的软件进行快速验证），我们发现在这三年期间，客户的超危、高危和中危漏洞都在逐年减少。例如，2022年检测到的中危漏洞减少了60%，高危和超高危漏洞分别减少了38%和28%。25%20%30%202020212022高危漏洞 6.7%4.5%6.1%202020212022超危漏洞 2020至2022年间，高危和超危漏洞的占比 |3定义漏洞的严重级别漏洞的严重级别根据 CVSS v3 标准评定，反映了漏洞对网络安全构成的风险。超危漏洞的CVSS分数在9.0到10.0之间，而且有已经公开或正在被攻击者使用的漏洞或存在安全缺陷的代码，例如命令、代码和SQL注入漏洞。高危漏洞的CV