全球500强企业弃用的Web应用存在安全隐患

前言

近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,因为这些Web应用程序中具有可利用的漏洞和缺陷。

世界五百强企业的web应用

旧金山安全公司High-Tech Bridge的研究人员针对英国《金融时报》所列出的世界五百强企业名单进行了调查,并在他们弃用的web应用程序中发现了诸多安全问题。

根据这份名为《废弃的Web应用:世界五百强企业的“阿喀琉斯之踵”》的报告指出:

“尽管这些企业每年的安全支出都在不断增加,但被遗弃的、影子或遗留应用程序却可能成为破坏这些企业网络安全和合规性的最大根源。”

根据该报告显示,70%的全球500强企业的部分网站访问权限都有在互联网黑市上销售;另外92%的外部Web应用程序具有可利用的安全漏洞或缺陷。

该报告介绍称:

“一家美国公司平均拥有85.1个应用程序,可以很轻松地从外部检测到,并且这些应用通常不受双因素身份验证(2FA)、强身份验证或其他旨在降低不受信任方应用程序可访问性的安全控制措施的保护。”

在其研究中,High-Tech Bridge表示,它创建了一份由美国500强企业和欧洲500强企业组成的1000家顶尖公司名单。接下来,它针对这些企业的外部网络、移动应用程序、SSL证书、网络软件和云存储的漏洞情况进行了评估。

结果发现,在全球范围内,19%的受检企业拥有无保护的外部云存储,且只有2%的外部Web应用程序通过web应用程序防火墙得到了适当保护。

而在美国,这种情况甚至还要糟糕得多。研究发现,27%的美国公司最少有一个外部云存储(例如AWS S3 bucket)可以在无需任何来自互联网的身份验证即可成功访问。在欧洲,只有12%的受检企业存在同样的问题。

最近,错误配置的存储服务器频繁泄露数据的问题一直困扰着全球企业。在美国军事承包商、Verizon合作伙伴、沃尔玛商户以及市场营销公司数据泄露新闻的影响下,不安全的云存储问题不断成为民众和媒体关注的重点,引发了人们对于个人和敏感数据的担忧情绪。

研究人员还发现,在接受调查的美国和欧盟web服务器中,只有不到20%具有符合最新版本支付卡安全标准PCI DSS 3.2.1的SSL/TLS配置。

该报告指出:

“在接受检查的美国公司web服务器中,48.81%的SSL/TLS加密等级为‘A’,32.21%的等级为‘F’。7.82%的web服务器仍在使用易受攻击且已被弃用的SSLv3协议。”

至于WordPress,它现在仍是32%的网站的后端平台,其安全状况同样不容乐观。该报告指出,“在运行WordPress的美国公司中,有94%的公司在其web应用中拥有一个默认的管理位置(在/wp-admin URL上),且不受任何额外保护(例如htaccess认证或IP白名单等)。”

而在欧洲,这种情况要糟糕得多,99.5%的WordPress网站存在同样的管理位置薄弱的问题。默认的WordPress管理区域位置简化了强制执行和其他与身份验证相关的攻击,包括密码重用,以防管理员帐户在第三方资源上泄露,以及在WP插件和主题中利用XSS漏洞等。

*参考来源:threatpost,米雪儿编译整理,转载请注明来自 FreeBuf.COM。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-11-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏腾讯云数据库(TencentDB)

A站被黑,你的数据库安全吗?

小编通过自身的数据库多年的从业经验,针对利用云计算的基础实施如何做好数据库防护做个浅显的分享。

10.3K171
来自专栏FreeBuf

德勤之后,另一家咨询公司埃森哲也被曝出安全问题

继上月末四大咨询公司之一的德勤被黑后,另一家咨询公司埃森哲也被爆出安全问题。 安全公司UpGuard发现,埃森哲的部分业务数据被放在了公开的Amazon S3 ...

2805
来自专栏腾讯云安全的专栏

金融篇——移动 APP 安全行业报告

2023
来自专栏企鹅号快讯

黑客找到Switch内核漏洞 但表示不会发布

近日,在德国34C3黑客大会上,三位黑客Plutoo、Derrek和Naehrwert在现场介绍了他们如何利用内核漏洞绕过任天堂Switch的底层保护机制,来获...

2416
来自专栏FreeBuf

如何入侵大疆Phantom 3无人机

最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。 这是我第一次操作无人机或类似...

2329
来自专栏网络

中国香港服务器与大陆服务器有什么区别

随着国家对国内互联网环境的整治,国内的网络环境也变得越来越安全、干净。同时也给很多企业和站长建站时提出了更多的要求,除了内容上限制的更多,备案也成为了业内褒贬不...

8638
来自专栏FreeBuf

Trustwave:中国制GSM语音网关存在Root权限后门

近日,网络安全公司Trustwave发布了一份报告,称在一家名为DBL Technology(得伯乐科技)的中国公司生产的GoIP GSM语音网关中发现了一个隐...

2398
来自专栏FreeBuf

移动APP安全行业报告金融篇

移动 APP 安全行业现状与导读 移动 APP 已逐步渗透入我们的生活,据统计,2016年,APP 发行数量仅电商、金融、游戏这三大类共计高达2万左右,国内移动...

36210
来自专栏FreeBuf

MongoDB数据库遭大规模勒索攻击,被劫持26000多台服务器

MongoDB数据库叕被攻击了。就在上周末,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。 ? “MongoDB启...

4359
来自专栏安恒信息

Cryptolocker劫持软件肆虐,感染25万PC

据报道,Cryptolocker劫持软件已经感染约25万台PC。Cryptolocker这款劫持软件恶意加密用户数据,然后索要一定的费用,否则...

2994

扫码关注云+社区

领取腾讯云代金券