十大宽带故事2015年
补贴卫星宽带以填充BDUK连接差距
法律专家说,欧盟数据保护规则会影响每个人
PAC说,GP提取服务“另一个Whitehall失败”
UKTECH50 2015 - 英国最有影响力的人
满足Stemettes活动的目标是让女孩进入茎
2015年前10台PC和桌面故事
UKTECH50 2015 - 计算机每周五个崛起的星星
Devops成功需要商业和文化转变
物联网成功的五项重点策略
gov.uk通知平台开始发送文本和电子邮件
公司可以监控员工的在线聊天,欧盟法院规则
基于智能手机的英国银行获得额外的4800万英镑的支持
Trendmicro发布紧急修复
CIO采访:Sam Lowe,MatchesFashion.com
儿童的行动使用Mendix来电源效率驱动器
AWS借鉴了赢得企业的启动诉求
AirWave使U-TONG达到紧急网络禁令
Atos在欧洲的ICTroMentre翻新项目推动
英联邦银行澳大利亚合作伙伴新南威尔士网络安全
虚拟仪器在2016年启动硬件NAS探测器
2015年十大CIO访谈
CIO采访:Paul Haley,Cio,城市大学伦敦
英国警方对网络犯罪服务现场进行两次逮捕
2015年,Synergy Research Group表示,2015年是云采用的突破性一年
Veracode查找大多数Web应用程序失败OWASP安全检查列表
Volta Data Centers为客户亮起电源故障偿还方案
TCS为1000英国毕业生提供实习
移动频谱共享飞行员在法国开始
随着BT交易结束,康沃尔议会将270名工作人员送回内部
John Manzoni说,缺乏技能使政府基础设施项目更加复杂
个性化可以帮助客户原谅不良品牌体验
Gmb Union从英国航空公司提供良好的回应IT外包问题
澳大利亚首相Malcolm Turnbull呼叫免费,开放和安全的互联网
王子的信任使用Oracle进行数字转型
Gartner:它在2016年的成长只增长0.6%
CIO采访:孤独的Bundgaard,cloplast
网络攻击下的澳大利亚企业律师,但没有计划增加安全支出
Kaminario客户说,混合动力闪光不够好,说
JISC在英格兰北部的第二次共享服务数据中心招标
CTO说,RSA旨在通过创新的可用性
移动广告网络比利移动在Hadoop上赌场
超过四分之一的手机上银行,但分支仍然受欢迎
澳大利亚为物联网爆炸准备
如何利用新时代的电子产品来构建创新解决方案
马歇尔电子推出两款具有同步锁相功能的新型全局快门相机
NUS工程师收集WiFi信号为小型电子设备供电
您的位置:首页 >产品 > 智能硬件 >

Veracode查找大多数Web应用程序失败OWASP安全检查列表

2021-06-07 16:45:09 [来源]:

根据Veracode的报告,由流行的Web脚本语言中写入的五种应用中的五种应用中的至少一个包含行业标准安全基准中的严重风险之一。

Veracode的分析表明,86%的基于PHP的应用程序包含至少一个跨站点脚本(XSS)漏洞,56%具有至少一个SQL注入(SQLI)漏洞。

XSS和SQLI是TheOpen Web应用程序安全项目(OWASP)标识的前10名最关键的Web应用程序安全风险之一。

根据2015年软件安全报告的2015年,根据数百万个网站,调查结果提高了对数百万个网站的潜在安全漏洞。

根据代码分析公司,风险的大小由为前三个内容管理系统(CMS) - WordPress,Drupal和Joomla开发的PHP应用程序增加 - 代表CMS市场的70%以上。

这些漏洞趋势也在更广泛的WEB脚本语言中看到,其中经典ASP和ColdFusion的应用程序与诸如.NET和Java等现代语言相比,含有这些缺陷的可能性几乎是含有这些缺陷的可能性。

Veracode的基于云的平台已经评估了超过一条数量的代码,可用于可能导致大规模泄露的关键漏洞。

2015年报告捕获在过去18个月内收集的数据,从200,000多个为Veracode客户跨越一系列行业和地理位置而进行的自动评估。

随着企业转移到连续交付和其他Devops创新,压力正在安装以更快地生产更安全的软件。然而,根据SANS学院的说法,不到26%的组织曾授权,正在进行安全的编码教育计划。

通过编程语言类型组织,Veracode对2015年软件安全报告的补充旨在帮助组织申请开发计划,以及优先考虑评估和修复活动。

补充报告发现,在安全方面,语言的设计很重要。

报告指出,某些语言是从头开始设计的,以避免某些漏洞类。例如,通过删除开发人员直接分配内存,Java和.NET的需求消除了处理内存分配的几乎完全漏洞(例如缓冲区溢出)。同样,某些ASP.NET控件的默认行为避免了与跨站点脚本相关的常见问题。

补充报告发现语言的操作环境也对安全性也很重要。

某些漏洞仅在某些执行环境中相关。例如,移动环境中的一些类别泄漏是最敏锐的,它将大量的个人数据与普通的通用网络能力相结合。

补充报告的另一个关键发现是移动开发项目团队需要专注于加密。

Veracode的分析发现,87%的Android应用程序和80%的IOS应用程序包含了加密问题。该报告表示,这表明,虽然移动应用程序开发人员可能意识到加密需要保护敏感数据并因此在其应用程序中使用它,但其中很少有人知道如何正确实现它。报告称,鉴于医疗保健行业的快速采用移动应用,这尤其涉及。

“当组织开始新的开发项目并选择语言和方法时,安全团队有机会预测可能出现的漏洞类型以及如何最好地评估它们,”维萨科博尔德首席信息安全官员表示首席技术官。

“本报告中的数据可以通过语言选择,开发人员培训以及用于使不可避免的补救过程的评估技术迅速地通知决策,”他说。

Veracode表示,该数据还表明通过电子学习服务的开发人员教育对降低应用层风险有很大影响。

据该公司,使用Veracode的电子学习服务的开发组织将其代码的安全性提高了30%,而没有正式教育计划。

Veracode的报告基于来自Veracode的基于云的平台的不断更新的信息,其中数据来自跨一系列行业和地理位置的数十亿个代码的实际代码分析。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。