社区编辑申请
注册/登录
调研 | Bugcrowd:2021年高危漏洞数量大幅增长
安全 漏洞
数世咨询

Bugcrowd公司2022版“Priority One Report”涵盖去年各种安全趋势。报告中称,其漏洞众测平台去年向金融服务公司提交的P1级(Priority One:第一优先级)漏洞报告增加了185%。Bugcrowd表示,P1级报告所涉漏洞可导致提权(从未授权提升至管理员权限)或远程代码执行、财务失窃等等。总体而言,2021年P1级漏洞增加了186%。

Bugcrowd创始人Casey Ellis补充道,转向远程办公的全球趋势促使各组织将更多资产放到网上。为保护这些资产,面向道德黑客的投资也随之增多。Bugcrowd发现,去年提交的全部有效漏洞报告中24%涉及P1和P2级威胁。P2级威胁就是影响软件安全及其所支持业务进程的漏洞。

Ellis指出,民族国家黑客组织也变得更加肆无忌惮,不再那么关心潜踪匿迹问题,2021年里愈加频繁地利用已知漏洞发起攻击。

“值得注意的是,由于勒索软件经济的兴起和黑客国家队与电子犯罪团伙之间界限的持续模糊,此类威胁也民主化了。所有这些情况,再加上威胁面的不断扩大和攻击收益的愈加丰厚,整个局面变得岌岌可危。2022年,我们预计形势会更加恶化。”

甚至P3级漏洞,也就是影响多名用户且几乎不需要用户交互就能触发的那类漏洞,在2021年也出现了同比增长。

漏洞报告数量总体增长82%,为这些漏洞报告支付的酬金则增长了106%。软件业的漏洞众测支出也增长了73%。相较于2020年,2021年前三季度政府部门收到的漏洞报告数量同比上涨1000%。

Bugcrowd还发现,跨站脚本是最常见的漏洞类型,而敏感数据暴露则从十大漏洞列表的第九位上升到了第三位。

Bugcrowd解释道:“2021年顶级漏洞排行榜上出现了一些变化,跨站脚本取代访问控制受损成为了最常见的漏洞类型,重回2019年榜眼位置,反映出2020和2021两年间自研Web应用快速部署的趋势。”

“由于业界越来越重视通过扫描来发现漏洞,涉内部资产的敏感数据暴露从去年的第九位跃升六位,来到了第三的位置。这是疫情引发快速数字化转型期间攻击面扩大且复杂性增加的直接后果。十大常见漏洞类型榜单的变化展现了漏洞类别的自然生命周期,也反映出了建设者和破坏者间互动的‘猫鼠游戏’本质:众测白帽子在赏金激励下努力挖掘新的普遍性漏洞,这些漏洞最终通过自动化工具加以解决(导致激励降低),然后驱动大家热切追寻的新漏洞类型出现。”

Bugcrowd 2022版“Priority One Report”下载页面:

https://www.bugcrowd.com/resources/reports/priority-one-report/

责任编辑:赵宁宁 来源: 数世咨询
相关推荐

2022-05-18 23:42:08

网络安全安全分析工具

2022-05-16 13:37:12

Sysrv僵尸网络微软

2022-05-17 14:03:42

勒索软件远程工作

2022-05-11 14:48:33

腾讯云寿险民生保险

2022-05-05 14:01:02

DNS高危漏洞uClibc

2022-04-20 22:04:58

物联网安全勒索软件网络攻击

2022-05-26 10:57:51

机器人人工智能

2022-04-09 11:53:52

供应链攻击

2022-05-16 08:33:54

漏洞微软安全补丁

2022-05-16 23:13:38

边缘计算数字化转型数据

2022-05-23 09:16:46

新华三

2022-05-16 15:35:00

漏洞黑客

2022-04-15 16:02:57

IT调查报告

2022-05-03 23:21:13

安全意识网络安全网络钓鱼

2022-05-08 20:48:34

Exchange版本漏洞

2022-04-01 10:04:27

]零日漏洞漏洞勒索软件

2022-05-09 11:57:39

云原生实践安全

2022-05-24 21:29:30

2022-05-23 10:55:19

华为数字化转型架构蓝图

2022-05-26 11:37:58

亚马逊云科技C7g实例

同话题下的热门内容

影响Angular和React应用的常见六大漏洞PoC代码已公布,这个 VMware auth 高危漏洞需尽快修补Google发出提醒:Android用户警惕间谍软件利用零日漏洞进行监控谷歌:Predator间谍软件使用零日漏洞感染Android设备从微补丁应用看漏洞修复技术的发展与挑战OAS 平台受关键 RCE 和 API 访问漏洞的影响

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号