导语:High-Tech Bridge在对世界五百强企业的调查后发现,在这些企业停止使用的网络应用中,往往会存在可利用的漏洞。被弃用的网络应用一旦没有得到妥善的处置,就会为企业日后埋下严重的安全隐患。

High-Tech Bridge在对英国《金融时报》所列出的世界五百强企业的调查后发现,在这些企业停止使用的网络应用中,往往会存在可利用的漏洞。被弃用的网络应用一旦没有得到妥善的处置,就会为企业日后埋下严重的安全隐患。

在一份名为《废弃的网络应用:世界五百强企业的致命要害》的报告中就有写道,

尽管这些企业每年的安全支出都在不断增加,但被其弃用或遗留的网络应用却没有得到重视,而它们是破坏企业网络安全的主要来源之一。

报告称,英国《金融时报》列出的世界500强企业中,70%企业的部分网站的进入权限,都有在互联网黑市上出售,另外还有92%的外部网络应用具有可利用的安全缺陷。

图片1.png

欧美500强企业中,基于外部网络的攻击面对比

报告同时写道,

平均每家美国公司拥有85.1个应用软件,可以很容易的从外部检测且不受2FA (双因素身份验证)、强身份验证或其他旨在降低不受信任方应用程序可访问性的安全控制的保护。

High-Tech Bridge共选取了美国和欧洲共计1000家顶尖公司作为研究目标,在评估了其外部网络、移动应用程序、SSL证书、网络软件和云存储的漏洞之后发现,被调查的公司中,有19%的外部云存储不受保护,相反,只有2%的外部网络应用程序受到了防火墙的适当保护。美国的情况甚至还要更糟糕,最少有27%的美国公司外部云存储(例如AWS S3 bucket)无需任何来自互联网的身份验证即可访问。相同的问题,在欧洲的比例只有12%。

 图片2.png

欧美五百强企业中,其缺口网站的进入权限在暗网上出售占比图

因存储服务器错误配置而导致数据泄露的问题一直困扰着企业,在美国军事承包商、威瑞森(Verizon)合作伙伴、沃尔玛(Walmart)商户等数据泄露新闻频发之下,不安全的云存储问题持续占据着近段时间的新闻头条。

图片3.png

欧美五百强企业中,未受保护的云存储数量对比图

研究人员还发现,在美国和欧盟调查的web服务器中,只有不到20%具有符合最新版支付卡安全标准PCI DSS 3.2.1的SSL/TLS配置。美国公司所有的web服务器中,48.81%的SSL/TLS加密等级为‘A’,32.21%的服务器等级为‘F’,7.82%仍然使用着因易受攻击而已被弃用的SSLv3协议。

至于WordPress——32%的网站当前在使用的后端平台,它的状况也不容乐观。报告指出,在使用WordPress的美国公司中,有94%的公司在其网络应用中的一个默认的管理位置(在/wp-admin URL上),不受任何额外保护(例如htaccess认证或IP白名单)。而欧洲的情况要更糟,99.5%的WordPress网站都存在管理位置薄弱的问题,默认的WordPress管理区域位置中简化了强制执行和其他与身份验证相关的攻击,包括在第三方资源上的管理帐户出现问题时重新使用密码,以及在WP插件和主题中利用XSS漏洞。

源链接

Hacking more

...