行业新闻与博客

今年报告的漏洞数量和每个漏洞的漏洞奖金支出都有所增加。 

根据 Bugcrowd 的 2019 年众包安全状况报告，去年报告的漏洞总数增加了 92％，而每个漏洞的平均支付额今年增加了 83％。

Bugcrowd 表示，更多行业正在采用众包安全计划，众包笔测试和漏洞披露“正在以惊人的速度增长，多年来运行计划的公司数量导致公共计划数量显着增加。”

Bugcrowd 的 CSO 兼运营副总裁 David Baker 告诉 Infosecurity，“这既是一件好事，又证明总有更多的漏洞可以找到。”

“更多的错误不是缺乏测试或 SDLC [软件开发生命周期] 不好的结果，而是转向云，推向移动应用和采用物联网，”他说。“最终，人群发现越来越多的 P1 意味着这些关键错误正在被更快地识别和解决。发现错误是件好事; 通过更好的进攻来促进更好的防守是一项伟大的 SDLC 战略。“

Bugcrowd 还表示，关键漏洞的平均支出达到了 2,669.92 美元，比去年增加了 27％。然而，它声称“研究人员不再追求像 XSS，CSRF 和 SSI 这样的东西，因为今天许多扫描仪很容易找到它们”，现在正在进行深度测试，导致过去五大漏洞年份： 

1. 访问控制中断
2. 敏感数据暴露
3. 服务器安全性配置错误
4. 身份验证和会话管理中断
5. 跨站脚本

说起Infosecurity，卢塔安全 CEO 凯蒂 Moussouris 说，“被破坏的访问控制”是一个很宽泛的类别“那绝对仍然可以量化为低挂水果”，如果一个组织的地方没有认证在所有的资产或 API，这是一个简单的错误，根本不表示更深层次或更复杂的错误。“同样适用于导致数据暴露的信息披露结果，该列表中的第二个。” 

Moussouris 表示，即使是具有大量一般流程成熟度和强大安全开发生命周期的组织，也会出现基本的 XSS 漏洞，特别是在第三方开发的网站中。

“问题的实际情况是，虽然 bug 赏金狩猎可以提供帮助，”她说，“组织不能使用它们或任何其他外部测试机制作为复选框来原谅自首，以防止常见的类错误，如身份验证错误。”

Moussouris 接着说，主要是一些组织认为 bug 赏金“作为一种看起来很忙并且在安全性方面做出反应的方式，当它实际上掩盖了潜在的安全疏忽”时，最常见于 bug 赏金中的 bug 类仍然在较低层次。复杂的结束。

“大多数组织应该积极尝试自己预防和发现这些，而不是将他们的检测外包给错误赏金的运气。”

非常感谢您对亚洲注册的支持与信任！

禁止转载