新闻快讯
< >

《2017应用安全统计报告》显示,全球企业网络安全关注度仍不容乐观

据WhiteHat Security发布的第十二期《2017应用安全统计报告》显示,去年,全球大多数企业对其自身网络安全态势的关心程度仍显不足。报告显示,企业漏洞平均修复时间拖延过长,而修复率过低的问题更是广泛存在。

WhiteHat Security的报告,基于在2016年通过15000个网络应用程序和超过65000个移动应用程序收集的动态和静态测试数据。

透过数据,我们可以看到网络应用程序平均漏洞发现率提高了25%,而漏洞的存在从2015年的4个漏洞下降到2016年的3个漏洞。但安全公司提醒,大多数应用程序具有三个或更多的安全漏洞,而且其中近一半是极具威胁性的。

通过每个行业的安全现状,我们看到服务行业的漏洞数量排在首位,其次是运输、零售和教育。

《2017应用安全统计报告》显示,全球企业网络安全关注度仍不容乐观-E安全


据WhiteHat介绍,在被测试的应用程序中有近一半几乎每天都处在危险中。在公用事业、零售、酒店和教育等行业,有超过大约60%的网络应用程序长期置身于易受攻击的环境。

动态数据测试的结果表明,目前主流的漏洞是信息泄露、跨站点脚本(XSS)、内容欺骗以及传输层保护不足。最常见的漏洞类型是SQL注入、XSS、跨站点请求伪造(CSRF)和越权访问。

正如预期的那样,开发团队首先将关注重点放在高危漏洞上,而对低危漏洞的处理则是排在中危漏洞处理之前。

WhiteHat在报告中表示:“开发团队首先会处理关键性的高危漏洞,然后再进行其他漏洞的修复,这是被普遍采用的方式。但是在修复完高危漏洞后,为什么顺带解决几个低危的漏洞呢?”

研究发现,尽管有40%的XSS漏洞被定义为高危,但开发人员自2016年以来几乎忽略了这些安全漏洞中的一大半。即使是高危数量达到94%的SQL注入漏洞,其修复率也仅只有60%。

报告显示,开发团队在修复漏洞的时间上有所改善。从2015年的平均天数146天下降到2016年的129天。但是从高危漏洞的修复情况来看,开发团队需要的平均天数接近200天,远高于2015年的171天。

静态数据测试的结果表明,在大多数情况下,传输层保护、SQL注入和最新补丁库的安装都是深受重视的。然而,还是只有不到一半的高危漏洞在开发过程中得到了修复。

通过静态数据测试发现的漏洞,开发人员似乎更侧重于去解决容易处理的问题,而更为严重的问题往往不会得到解决。