弃用的网络应用中所遗留的安全隐患应得到重视

栏目: 编程工具 · 发布时间: 6年前

High-Tech Bridge在对英国《金融时报》所列出的世界五百强企业的调查后发现,在这些企业停止使用的网络应用中,往往会存在可利用的漏洞。被弃用的网络应用一旦没有得到妥善的处置,就会为企业日后埋下严重的安全隐患。

在一份名为《废弃的网络应用:世界五百强企业的致命要害》的报告中就有写道,

尽管这些企业每年的安全支出都在不断增加,但被其弃用或遗留的网络应用却没有得到重视,而它们是破坏企业网络安全的主要来源之一。

报告称,英国《金融时报》列出的世界500强企业中,70%企业的部分网站的进入权限,都有在互联网黑市上出售,另外还有92%的外部网络应用具有可利用的安全缺陷。

弃用的网络应用中所遗留的安全隐患应得到重视

欧美500强企业中,基于外部网络的攻击面对比

报告同时写道,

平均每家美国公司拥有85.1个应用软件,可以很容易的从外部检测且不受2FA (双因素身份验证)、强身份验证或其他旨在降低不受信任方应用程序可访问性的安全控制的保护。

High-Tech Bridge共选取了美国和欧洲共计1000家顶尖公司作为研究目标,在评估了其外部网络、移动应用程序、SSL证书、网络软件和云存储的漏洞之后发现,被调查的公司中,有19%的外部云存储不受保护,相反,只有2%的外部网络应用程序受到了防火墙的适当保护。美国的情况甚至还要更糟糕,最少有27%的美国公司外部云存储(例如AWS S3 bucket)无需任何来自互联网的身份验证即可访问。相同的问题,在欧洲的比例只有12%。

弃用的网络应用中所遗留的安全隐患应得到重视

欧美五百强企业中,其缺口网站的进入权限在暗网上出售占比图

因存储服务器错误配置而导致数据泄露的问题一直困扰着企业,在美国军事承包商、威瑞森(Verizon)合作伙伴、沃尔玛(Walmart)商户等数据泄露新闻频发之下,不安全的云存储问题持续占据着近段时间的新闻头条。

弃用的网络应用中所遗留的安全隐患应得到重视

欧美五百强企业中,未受保护的云存储数量对比图

研究人员还发现,在美国和欧盟调查的web服务器中,只有不到20%具有符合最新版支付卡安全标准PCI DSS 3.2.1的SSL/TLS配置。美国公司所有的web服务器中,48.81%的SSL/TLS加密等级为‘A’,32.21%的服务器等级为‘F’,7.82%仍然使用着因易受攻击而已被弃用的SSLv3协议。

至于WordPress——32%的网站当前在使用的后端平台,它的状况也不容乐观。报告指出,在使用WordPress的美国公司中,有94%的公司在其网络应用中的一个默认的管理位置(在/wp-admin URL上),不受任何额外保护(例如htaccess认证或IP白名单)。而欧洲的情况要更糟,99.5%的WordPress网站都存在管理位置薄弱的问题,默认的WordPress管理区域位置中简化了强制执行和其他与身份验证相关的攻击,包括在第三方资源上的管理帐户出现问题时重新使用密码,以及在WP插件和主题中利用XSS漏洞。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

创造突破性产品

创造突破性产品

Jonathan Cagan、Craig M.Vogel / 机械工业出版社 / 2004-1 / 35.00元

在《创造突破性产品:从产品策略到项目定案的创新》中作者总结多年的研究成果,指明了与产品创新相关的一系列因素,并提供了一套全新的开发突破性产品的理论与方法,该书旨在帮助企业,技术和设计人员: 获得对用户的需求和市场新的趋势的准确洞察力; 认识可以创造新市场的产品机会缺口; 指导产品模糊前期的构造; 正确地运用定性和定量的研究方法; ......一起来看看 《创造突破性产品》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

随机密码生成器
随机密码生成器

多种字符组合密码

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具