内容简介:近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,因为这些Web应用程序中具有可利用的漏洞和缺陷。旧金山安全公司High-Tech Bridge的研究人员针对英国《金融时报》所列出的世界五百强企业名单进行了调查,并在他们弃用的web应用程序中发现了诸多安全问题。
前言
近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,因为这些Web应用程序中具有可利用的漏洞和缺陷。
世界五百强企业的 web应用
旧金山安全公司High-Tech Bridge的研究人员针对英国《金融时报》所列出的世界五百强企业名单进行了调查,并在他们弃用的web应用程序中发现了诸多安全问题。
根据这份名为《废弃的Web应用:世界五百强企业的“阿喀琉斯之踵”》的报告指出:
“尽管这些企业每年的安全支出都在不断增加,但被遗弃的、影子或遗留应用程序却可能成为破坏这些企业网络安全和合规性的最大根源。”
根据该报告显示,70%的全球500强企业的部分网站访问权限都有在互联网黑市上销售;另外92%的外部Web应用程序具有可利用的安全漏洞或缺陷。
该报告介绍称:
“一家美国公司平均拥有85.1个应用程序,可以很轻松地从外部检测到,并且这些应用通常不受双因素身份验证(2FA)、强身份验证或其他旨在降低不受信任方应用程序可访问性的安全控制措施的保护。”
在其研究中,High-Tech Bridge表示,它创建了一份由美国500强企业和欧洲500强企业组成的1000家顶尖公司名单。接下来,它针对这些企业的外部网络、移动应用程序、SSL证书、网络软件和云存储的漏洞情况进行了评估。
结果发现,在全球范围内,19%的受检企业拥有无保护的外部云存储,且只有2%的外部Web应用程序通过web应用程序防火墙得到了适当保护。
而在美国,这种情况甚至还要糟糕得多。研究发现,27%的美国公司最少有一个外部云存储(例如AWS S3 bucket)可以在无需任何来自互联网的身份验证即可成功访问。在欧洲,只有12%的受检企业存在同样的问题。
最近,错误配置的存储服务器频繁泄露数据的问题一直困扰着全球企业。在美国军事承包商、Verizon合作伙伴、沃尔玛商户以及市场营销公司数据泄露新闻的影响下,不安全的云存储问题不断成为民众和媒体关注的重点,引发了人们对于个人和敏感数据的担忧情绪。
研究人员还发现,在接受调查的美国和欧盟web服务器中,只有不到20%具有符合最新版本支付卡安全标准PCI DSS 3.2.1的SSL/TLS配置。
该报告指出:
“在接受检查的美国公司web服务器中,48.81%的SSL/TLS加密等级为‘A’,32.21%的等级为‘F’。7.82%的web服务器仍在使用易受攻击且已被弃用的SSLv3协议。”
至于WordPress,它现在仍是32%的网站的后端平台,其安全状况同样不容乐观。该报告指出,“在运行WordPress的美国公司中,有94%的公司在其web应用中拥有一个默认的管理位置(在/wp-admin URL上),且不受任何额外保护(例如htaccess认证或IP白名单等)。”
而在欧洲,这种情况要糟糕得多,99.5%的WordPress网站存在同样的管理位置薄弱的问题。默认的WordPress管理区域位置简化了强制执行和其他与身份验证相关的攻击,包括密码重用,以防管理员帐户在第三方资源上泄露,以及在WP插件和主题中利用XSS漏洞等。
*参考来源: threatpost ,米雪儿编译整理,转载请注明来自 FreeBuf.COM。
以上所述就是小编给大家介绍的《威胁清单 | 全球500强企业弃用的Web应用存在安全隐患》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 除泄密隐患,筑保密长城
- iOS开发如何避免安全隐患
- 用Rust解决C语言的隐患
- 由浅入深剖析xml及其安全隐患
- 浅析常见 Debug 调试器的安全隐患
- Kubernetes用户权限提升漏洞所暴露的安全隐患
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
机器与人:埃森哲论新人工智能
【美】保罗•多尔蒂 詹姆斯•威尔逊 / 赵亚男 / 中信出版社 / 2018-10-1 / 49.00元
自人工智能问世以来,人们普遍持有人机对立的观点,且无时无刻不在害怕自己的工作会被人工智能取代。作者认为,是时候抛开这些无谓的担忧了,因为人类社会正走向一个与机器共融共生的时代。 未来的新型工作模式是什么?未来有哪些工作不会被人工智能取代?人工智能时代重要的生存技能是什么?本书围绕这三大核心问题做了透彻的分析。作者带我们见识了置于业务流程背景之下的人工智能,阐述了其在不同职能部门中起到的推动作......一起来看看 《机器与人:埃森哲论新人工智能》 这本书的介绍吧!