网站让黑客轻松访问,审计揭示
由正技术审计的一半以上的网站发现包含攻击者可以使用窃取个人数据并执行拒绝服务(DOS)和其他攻击的关键漏洞。
电子商务和制造组织在2016年透露了73个Web应用程序的网站列表中,遍布漏洞的Web应用程序。
黑客可以利用Inecure Web应用程序作为一种感染其他目标的方法,其中有94%的应用程序通过使用10个最常见的应用程序漏洞中的五个可能的攻击,正技术警告说明。
虽然具有高度严重性漏洞的网站数量减少了12%,但与2015年相比,在分析的所有应用中都发现了安全缺陷,58%发现至少有一个高度严重性的脆弱性。
测试人员能够从20%的Web应用程序中获取个人数据,这些数据处理这些数据,包括银行和政府网站。
在归属于电信公司的74%的申请中发现了高风险漏洞,任何行业的最高率。但是,就可能的后果而言,制造业和电子商务中最严重的安全局势,其中43%和34%的网站分别被评为“极差”。
研究人员称公共场所的漏洞仍然是损害公司内部基础架构的流行方式,每个第四个Web应用程序都允许此类攻击。相同的Web应用程序包含漏洞,可以提供对内部数据库的入侵者访问权限。
“在开发和持续运营期间,安全测试势在必行,”正面技术信息安全分析负责人Evgeny Gnedin说。“我们敦促所有公司使用Web应用程序防火墙来保护其应用程序。”
对于最佳效果,请在开发期间执行Gnedin,源代码测试。“整个开发过程中的自动源代码分析是识别尽可能快速有效的问题的关键,”他说。
每年,Web应用程序都会扩展其存在,并且几乎每个业务都有自己的Web应用程序为客户端和内部业务流程。但是,应用程序功能通常以牺牲安全性对整个业务的安全级别产生负面影响,但研究人员在博客文章中表示。
Web应用程序漏洞为恶意演员提供了机会,并通过在应用程序架构和管理中利用错误,攻击者可以获得敏感信息,干扰Web应用程序功能,执行DOS攻击,攻击应用程序用户,穿透公司LAN,并获得访问他们警告说明。