棄用的網路應用中所遺留的安全隱患應得到重視

High-Tech Bridge在對英國《金融時報》所列出的世界五百強企業的調查後發現，在這些企業停止使用的網路應用中，往往會存在可利用的漏洞。被棄用的網路應用一旦沒有得到妥善的處置，就會為企業日後埋下嚴重的安全隱患。

在一份名為《廢棄的網路應用：世界五百強企業的致命要害》的報告中就有寫道，

儘管這些企業每年的安全支出都在不斷增加，但被其棄用或遺留的網路應用卻沒有得到重視，而它們是破壞企業網路安全的主要來源之一。

報告稱，英國《金融時報》列出的世界500強企業中，70%企業的部分網站的進入許可權，都有在互聯網黑市上出售，另外還有92%的外部網路應用具有可利用的安全缺陷。

歐美500強企業中，基於外部網路的攻擊面對比

報告同時寫道，

平均每家美國公司擁有85.1個應用軟體，可以很容易的從外部檢測且不受2FA （雙因素身份驗證）、強身份驗證或其他旨在降低不受信任方應用程序可訪問性的安全控制的保護。

High-Tech Bridge共選取了美國和歐洲共計1000家頂尖公司作為研究目標，在評估了其外部網路、移動應用程序、SSL證書、網路軟體和雲存儲的漏洞之後發現，被調查的公司中，有19%的外部雲存儲不受保護，相反，只有2%的外部網路應用程序受到了防火牆的適當保護。美國的情況甚至還要更糟糕，最少有27％的美國公司外部雲存儲（例如AWS S3 bucket）無需任何來自互聯網的身份驗證即可訪問。相同的問題，在歐洲的比例只有12％。

歐美五百強企業中，其缺口網站的進入許可權在暗網上出售佔比圖

因存儲伺服器錯誤配置而導致數據泄露的問題一直困擾著企業，在美國軍事承包商、威瑞森(Verizon)合作夥伴、沃爾瑪(Walmart)商戶等數據泄露新聞頻發之下，不安全的雲存儲問題持續佔據著近段時間的新聞頭條。

歐美五百強企業中，未受保護的雲存儲數量對比圖

研究人員還發現，在美國和歐盟調查的web伺服器中，只有不到20%具有符合最新版支付卡安全標準PCI DSS 3.2.1的SSL/TLS配置。美國公司所有的web伺服器中，48.81%的SSL/TLS加密等級為『A』，32.21%的伺服器等級為『F』，7.82%仍然使用著因易受攻擊而已被棄用的SSLv3協議。

至於WordPress——32%的網站當前在使用的後端平台，它的狀況也不容樂觀。報告指出，在使用WordPress的美國公司中，有94%的公司在其網路應用中的一個默認的管理位置(在/wp-admin URL上)，不受任何額外保護(例如htaccess認證或IP白名單)。而歐洲的情況要更糟，99.5%的WordPress網站都存在管理位置薄弱的問題，默認的WordPress管理區域位置中簡化了強制執行和其他與身份驗證相關的攻擊，包括在第三方資源上的管理帳戶出現問題時重新使用密碼，以及在WP插件和主題中利用XSS漏洞。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！