威胁清单 | 全球500强企业弃用的Web应用存在安全隐患

来源:FreeBuf.COM2019.06.20

    近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,因为这些Web应用程序中具有可利用的漏洞和缺陷。

页首配图

世界五百强企业的web应用

旧金山安全公司High-Tech Bridge的研究人员针对英国《金融时报》所列出的世界五百强企业名单进行了调查,并在他们弃用的web应用程序中发现了诸多安全问题。

根据这份名为《废弃的Web应用:世界五百强企业的“阿喀琉斯之踵”》的报告指出:

“尽管这些企业每年的安全支出都在不断增加,但被遗弃的、影子或遗留应用程序却可能成为破坏这些企业网络安全和合规性的最大根源。”

 

Abandoned-Web-Applications3-300x213.png

根据该报告显示,70%的全球500强企业的部分网站访问权限都有在互联网黑市上销售;另外92%的外部Web应用程序具有可利用的安全漏洞或缺陷。

该报告介绍称:

“一家美国公司平均拥有85.1个应用程序,可以很轻松地从外部检测到,并且这些应用通常不受双因素身份验证(2FA)、强身份验证或其他旨在降低不受信任方应用程序可访问性的安全控制措施的保护。”

在其研究中,High-Tech Bridge表示,它创建了一份由美国500强企业和欧洲500强企业组成的1000家顶尖公司名单。接下来,它针对这些企业的外部网络、移动应用程序、SSL证书、网络软件和云存储的漏洞情况进行了评估。

结果发现,在全球范围内,19%的受检企业拥有无保护的外部云存储,且只有2%的外部Web应用程序通过web应用程序防火墙得到了适当保护。

而在美国,这种情况甚至还要糟糕得多。研究发现,27%的美国公司最少有一个外部云存储(例如AWS S3 bucket)可以在无需任何来自互联网的身份验证即可成功访问。在欧洲,只有12%的受检企业存在同样的问题。

最近,错误配置的存储服务器频繁泄露数据的问题一直困扰着全球企业。在美国军事承包商、Verizon合作伙伴、沃尔玛商户以及市场营销公司数据泄露新闻的影响下,不安全的云存储问题不断成为民众和媒体关注的重点,引发了人们对于个人和敏感数据的担忧情绪。

 

错误配置的存储服务器

研究人员还发现,在接受调查的美国和欧盟web服务器中,只有不到20%具有符合最新版本支付卡安全标准PCI DSS 3.2.1的SSL/TLS配置。

该报告指出:

“在接受检查的美国公司web服务器中,48.81%的SSL/TLS加密等级为‘A’,32.21%的等级为‘F’。7.82%的web服务器仍在使用易受攻击且已被弃用的SSLv3协议。”

至于WordPress,它现在仍是32%的网站的后端平台,其安全状况同样不容乐观。该报告指出,“在运行WordPress的美国公司中,有94%的公司在其web应用中拥有一个默认的管理位置(在/wp-admin URL上),且不受任何额外保护(例如htaccess认证或IP白名单等)。”

而在欧洲,这种情况要糟糕得多,99.5%的WordPress网站存在同样的管理位置薄弱的问题。默认的WordPress管理区域位置简化了强制执行和其他与身份验证相关的攻击,包括密码重用,以防管理员帐户在第三方资源上泄露,以及在WP插件和主题中利用XSS漏洞等。

 

 

 

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态