Bugcrowd报告称，2021年发现的关键漏洞有所增加

一份新的Bugcrowd报告显示，2021年报告的严重漏洞数量显着增加。

该公司的2022年优先级报告涵盖了去年的各种安全趋势。该报告称，他们的平台在过去12个月中向金融服务公司提交的优先级(P1)申请增加了185%。Bugcrowd表示，P1提交涉及的漏洞会导致权限从无特权升级到管理员，或允许远程代码执行、金融盗窃等。总体而言，P1漏洞在2021年增加了186%。

Bugcrowd创始人Casey Ellis补充说，全球向远程工作的转变促使组织将更多资产放到网上。这导致对道德黑客的更多投资，Bugcrowd发现当年所有有效提交中24%涉及P1和P2威胁。P2威胁是影响软件安全并影响其支持的流程的漏洞。

Casey Ellis指出，民族国家的黑客也变得更加肆无忌惮，对隐身的担忧也越来越少，在2021年更频繁地使用对已知漏洞的攻击。

“重要的是，由于新兴的勒索软件经济以及国家行为者与电子犯罪组织之间的界限持续模糊，我们已经看到此类威胁的民主化，”埃利斯说。“所有这些，再加上不断增长和更有利可图的攻击面，造就了一个高度可燃的环境。在2022年，我们预计会有更多相同的情况。”

即使是涉及影响多个用户并且需要很少或不需要用户交互来触发的漏洞的P3提交，在2021年也出现了同比增长。

提交的总体数量增长了82%，而这些提交的支出增长了106%。软件行业的总支出也增长了73%。与2020年相比，从2021年到第三季度，政府部门的提交量增加了1000%。

跨站点脚本是最常见的漏洞类型，敏感数据暴露从前10名中的第9位上升到第3位。

“2021年顶部发生了一些变化，其中跨站点脚本超过了损坏的访问控制，成为最常见的漏洞类型，恢复到2019年的前两位，并反映了2020年和2021年本土Web应用程序的快速部署，”Bugcrowd解释说。

“在第三位，涉及内部资产的敏感数据暴露从去年的第九位跃升了六位，这是由于越来越重视扫描作为发现漏洞的一种手段。这是大流行期间攻击面扩大和复杂性增加的直接结果-引发的数字化转型，以及这种转型发生的速度。前10种最常见的漏洞类型的变化展示了漏洞类别的自然生命周期以及构建者和之间交互的“猫捉老鼠”性质破坏者：激励人群寻找新的、普遍的漏洞类型，这些漏洞最终由自动化工具解决（导致激励下降），然后出现新的漏洞类型，人群高度激励去寻找。”