前言
近日,一项针对全球领先企业所拥有的废弃网站进行的研究表明,老旧的Web应用程序需要进行正确地“退役”处理。否则,这些已被弃用很久的资源仍然会经常影响着企业安全,因为这些Web应用程序中具有可利用的漏洞和缺陷。
世界五百强企业的web应用
旧金山安全公司High-Tech Bridge的研究人员针对英国《金融时报》所列出的世界五百强企业名单进行了调查,并在他们弃用的web应用程序中发现了诸多安全问题。
根据这份名为《废弃的Web应用:世界五百强企业的“阿喀琉斯之踵”》的报告指出:
“尽管这些企业每年的安全支出都在不断增加,但被遗弃的、影子或遗留应用程序却可能成为破坏这些企业网络安全和合规性的最大根源。”
根据该报告显示,70%的全球500强企业的部分网站访问权限都有在互联网黑市上销售;另外92%的外部Web应用程序具有可利用的安全漏洞或缺陷。
该报告介绍称:
“一家美国公司平均拥有85.1个应用程序,可以很轻松地从外部检测到,并且这些应用通常不受双因素身份验证(2FA)、强身份验证或其他旨在降低不受信任方应用程序可访问性的安全控制措施的保护。”
在其研究中,High-Tech Bridge表示,它创建了一份由美国500强企业和欧洲500强企业组成的1000家顶尖公司名单。接下来,它针对这些企业的外部网络、移动应用程序、SSL证书、网络软件和云存储的漏洞情况进行了评估。
结果发现,在全球范围内,19%的受检企业拥有无保护的外部云存储,且只有2%的外部Web应用程序通过web应用程序防火墙得到了适当保护。
而在美国,这种情况甚至还要糟糕得多。研究发现,27%的美国公司最少有一个外部云存储(例如AWS S3 bucket)可以在无需任何来自互联网的身份验证即可成功访问。在欧洲,只有12%的受检企业存在同样的问题。
最近,错误配置的存储服务器频繁泄露数据的问题一直困扰着全球企业。在美国军事承包商、Verizon合作伙伴、沃尔玛商户以及市场营销公司数据泄露新闻的影响下,不安全的云存储问题不断成为民众和媒体关注的重点,引发了人们对于个人和敏感数据的担忧情绪。
研究人员还发现,在接受调查的美国和欧盟web服务器中,只有不到20%具有符合最新版本支付卡安全标准PCI DSS 3.2.1的SSL/TLS配置。
该报告指出:
“在接受检查的美国公司web服务器中,48.81%的SSL/TLS加密等级为‘A’,32.21%的等级为‘F’。7.82%的web服务器仍在使用易受攻击且已被弃用的SSLv3协议。”
至于WordPress,它现在仍是32%的网站的后端平台,其安全状况同样不容乐观。该报告指出,“在运行WordPress的美国公司中,有94%的公司在其web应用中拥有一个默认的管理位置(在/wp-admin URL上),且不受任何额外保护(例如htaccess认证或IP白名单等)。”
而在欧洲,这种情况要糟糕得多,99.5%的WordPress网站存在同样的管理位置薄弱的问题。默认的WordPress管理区域位置简化了强制执行和其他与身份验证相关的攻击,包括密码重用,以防管理员帐户在第三方资源上泄露,以及在WP插件和主题中利用XSS漏洞等。
*参考来源:threatpost,米雪儿编译整理,转载请注明来自 FreeBuf.COM。