前言
近日,一項針對全球領先企業所擁有的廢棄網站進行的研究表明,老舊的Web應用程序需要進行正確地“退役”處理。否則,這些已被棄用很久的資源仍然會經常影響着企業安全,因爲這些Web應用程序中具有可利用的漏洞和缺陷。
世界五百強企業的web應用
舊金山安全公司High-Tech Bridge的研究人員針對英國《金融時報》所列出的世界五百強企業名單進行了調查,並在他們棄用的web應用程序中發現了諸多安全問題。
根據這份名爲《廢棄的Web應用:世界五百強企業的“阿喀琉斯之踵”》的報告指出:
“儘管這些企業每年的安全支出都在不斷增加,但被遺棄的、影子或遺留應用程序卻可能成爲破壞這些企業網絡安全和合規性的最大根源。”
根據該報告顯示,70%的全球500強企業的部分網站訪問權限都有在互聯網黑市上銷售;另外92%的外部Web應用程序具有可利用的安全漏洞或缺陷。
該報告介紹稱:
“一家美國公司平均擁有85.1個應用程序,可以很輕鬆地從外部檢測到,並且這些應用通常不受雙因素身份驗證(2FA)、強身份驗證或其他旨在降低不受信任方應用程序可訪問性的安全控制措施的保護。”
在其研究中,High-Tech Bridge表示,它創建了一份由美國500強企業和歐洲500強企業組成的1000家頂尖公司名單。接下來,它針對這些企業的外部網絡、移動應用程序、SSL證書、網絡軟件和雲存儲的漏洞情況進行了評估。
結果發現,在全球範圍內,19%的受檢企業擁有無保護的外部雲存儲,且只有2%的外部Web應用程序通過web應用程序防火牆得到了適當保護。
而在美國,這種情況甚至還要糟糕得多。研究發現,27%的美國公司最少有一個外部雲存儲(例如AWS S3 bucket)可以在無需任何來自互聯網的身份驗證即可成功訪問。在歐洲,只有12%的受檢企業存在同樣的問題。
最近,錯誤配置的存儲服務器頻繁泄露數據的問題一直困擾着全球企業。在美國軍事承包商、Verizon合作伙伴、沃爾瑪商戶以及市場營銷公司數據泄露新聞的影響下,不安全的雲存儲問題不斷成爲民衆和媒體關注的重點,引發了人們對於個人和敏感數據的擔憂情緒。
研究人員還發現,在接受調查的美國和歐盟web服務器中,只有不到20%具有符合最新版本支付卡安全標準PCI DSS 3.2.1的SSL/TLS配置。
該報告指出:
“在接受檢查的美國公司web服務器中,48.81%的SSL/TLS加密等級爲‘A’,32.21%的等級爲‘F’。7.82%的web服務器仍在使用易受攻擊且已被棄用的SSLv3協議。”
至於WordPress,它現在仍是32%的網站的後端平臺,其安全狀況同樣不容樂觀。該報告指出,“在運行WordPress的美國公司中,有94%的公司在其web應用中擁有一個默認的管理位置(在/wp-admin URL上),且不受任何額外保護(例如htaccess認證或IP白名單等)。”
而在歐洲,這種情況要糟糕得多,99.5%的WordPress網站存在同樣的管理位置薄弱的問題。默認的WordPress管理區域位置簡化了強制執行和其他與身份驗證相關的攻擊,包括密碼重用,以防管理員帳戶在第三方資源上泄露,以及在WP插件和主題中利用XSS漏洞等。
*參考來源:threatpost,米雪兒編譯整理,轉載請註明來自 FreeBuf.COM。