《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > Bugcrowd:2021年高危漏洞数量大幅增长

Bugcrowd:2021年高危漏洞数量大幅增长

2022-03-20
来源:互联网安全内参
关键词: 高危漏洞

  Bugcrowd公司2022版“Priority One Report”涵盖去年各种安全趋势。报告中称,其漏洞众测平台去年向金融服务公司提交的P1级(Priority One:第一优先级)漏洞报告增加了185%。Bugcrowd表示,P1级报告所涉漏洞可导致提权(从未授权提升至管理员权限)或远程代码执行、财务失窃等等。总体而言,2021年P1级漏洞增加了186%。

  Bugcrowd创始人Casey Ellis补充道,转向远程办公的全球趋势促使各组织将更多资产放到网上。为保护这些资产,面向道德黑客的投资也随之增多。Bugcrowd发现,去年提交的全部有效漏洞报告中24%涉及P1和P2级威胁。P2级威胁就是影响软件安全及其所支持业务进程的漏洞。

  Ellis指出,民族国家黑客组织也变得更加肆无忌惮,不再那么关心潜踪匿迹问题,2021年里愈加频繁地利用已知漏洞发起攻击。

  “值得注意的是,由于勒索软件经济的兴起和黑客国家队与电子犯罪团伙之间界限的持续模糊,此类威胁也民主化了。所有这些情况,再加上威胁面的不断扩大和攻击收益的愈加丰厚,整个局面变得岌岌可危。2022年,我们预计形势会更加恶化。”

  甚至P3级漏洞,也就是影响多名用户且几乎不需要用户交互就能触发的那类漏洞,在2021年也出现了同比增长。

  漏洞报告数量总体增长82%,为这些漏洞报告支付的酬金则增长了106%。软件业的漏洞众测支出也增长了73%。相较于2020年,2021年前三季度政府部门收到的漏洞报告数量同比上涨1000%。

  Bugcrowd还发现,跨站脚本是最常见的漏洞类型,而敏感数据暴露则从十大漏洞列表的第九位上升到了第三位。

  Bugcrowd解释道:“2021年顶级漏洞排行榜上出现了一些变化,跨站脚本取代访问控制受损成为了最常见的漏洞类型,重回2019年榜眼位置,反映出2020和2021两年间自研Web应用快速部署的趋势。”

  “由于业界越来越重视通过扫描来发现漏洞,涉内部资产的敏感数据暴露从去年的第九位跃升六位,来到了第三的位置。这是疫情引发快速数字化转型期间攻击面扩大且复杂性增加的直接后果。十大常见漏洞类型榜单的变化展现了漏洞类别的自然生命周期,也反映出了建设者和破坏者间互动的‘猫鼠游戏’本质:众测白帽子在赏金激励下努力挖掘新的普遍性漏洞,这些漏洞最终通过自动化工具加以解决(导致激励降低),然后驱动大家热切追寻的新漏洞类型出现。”




微信图片_20220318121103.jpg

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。