软件开发仍然不安全

过去九年来，普通网络漏洞的实例保持一致，网络安全和风险缓解公司NCC集团的研究人员的分析已经揭晓。

特别是，传播网站脚本（XSS）漏洞的数量仍然很稳定，占找到所有漏洞的18％。

这与White Hat Hacking Community Platform Hackerone的报告一致，XSS是所有漏洞狩猎部署的最常用的漏洞。

尽管在WOWASP TOP10安全问题中列出了XSS，但多年来遵循的可用性如何避免它。

XSS缺陷通常被忽视，即使他们可以启用攻击者将恶意脚本注入网站或受害者的浏览器。

NCC集团的研究总监Matt Lewis表示，虽然在过去十年中，其他常见的漏洞已经消失，但XSS缺陷在近20年后继续普遍。

“我们应该看到这些类型的漏洞中的显着下降，但情况并非如此，这突出了在软件开发生命周期中围绕安全性的更好教育的需要，”他说。

总的来说，该团队在354个供应商使用的技术中遍布了53个不同类别的1,108个漏洞，发现针对复杂应用程序和硬件的错误数量增加。

这包括Deserialation缺陷 - 当不受信任的数据滥用应用程序的逻辑并施加分布式拒绝服务（DDOS）或远程代码攻击 - 以及在复杂的Web应用程序中跨越链中的多个低风险问题的开发完整，未经授权的控制。

研究人员还在与构成事物互联网（物联网）的嵌入式系统和互联网连接的设备的接触增加之后，研究人员增加了硬件相关的设计缺陷。

“虽然可能有很多因素影响过去九年来发现错误 - 例如行业转移关注某些阶段的错误，甚至是我们顾问可用的时间 - 仍然存在持续普遍存在刘易斯说，最常见的漏洞。

“除此之外，我们已经看到了越来越多的攻击方法，因为应用程序和系统变得更加复杂，”他说。

据刘易斯称，这突显了对安全技能的更多投资，并“更广泛地了解这些漏洞的减轻的重要性是为了整体安全的企业”。

安全公司Rapid 7最近发表的研究显示，只有16％的公司研究了外部网络攻击者可以使用外部网络攻击者来访问其IT系统的漏洞。

该研究旨在发现现代企业中最常见的弱点，以确定最普遍的网络威胁通知网络防御策略。

进一步强调软件漏洞的威胁，数字阴影和Onapsis的研究表明，网络攻击者正在利用企业资源规划（ERP）应用程序，并扩展其运营以定为目标高价值资产。

该报告显示了对SAP和Oracle等广泛使用的ERP应用程序的网络攻击急剧上升，该应用程序当前具有9,000名已知安全漏洞的总和，并突出显示这些Systemby国家演员的攻击，网络犯罪分子andhacktivists。