来自 网络 2021-06-10 16:17 的文章

香港高防cdn_网站安全防护方案_方法

香港高防cdn_网站安全防护方案_方法

ImmuniWeb>安全博客全球前100个机场的网络安全状况25.5k 26 34 17 53更多27 18 25,星期三,2020年1月29日,星期三阅读时间:9分钟。全球100个最大机场中有97个存在与易受攻击的网络和移动应用程序相关的安全风险,错误配置的公众云、黑暗的网络暴露或代码库泄漏。世界经济论坛(WEF)2020年年会敦促考虑航空业新出现的网络安全挑战,正如其"推进航空业网络弹性:行业分析"报告中所述。为了了解航空运输安全的现状,我们决定对世界上一些最大的机场的网络安全、合规性和隐私权进行研究,其中许多机场将为您所熟悉。博客文章p img{border:1px solid#67abe2;}.research tbl{border collapse:collapse;margin:10px 0 30px;width:100%;}。research tbl th,.research tbl td{text align:center;border:1px solid#67abe2;填充:8px 10px;}。research tbl th{背景颜色:#dcf2fd;字体粗体:粗体;垂直对齐:居中;}.research tbl th:最后一个子级,.research tbl td:最后一个子级{text align:justify;}.research-tbl.研究-tbl-col-2 th:第一个孩子,研究-tbl.研究-tbl-col-2td:第一个孩子{text align:left;}。研究-tbl.研究-tbl-col-2 th:最后一个孩子,研究-tbl.研究-tbl-col-2 td:最后一个子级{文本对齐:居中;宽度:25%;}.研究-tbl.研究-tbl-col-3 th:第n个孩子(1),研究-tbl.研究-tbl-col-3 th:第n个孩子(2),研究-tbl.研究-tbl-col-3 td:第n个孩子(1),研究-tbl.研究-tbl-col-3td:nth child(2){宽度:17%;}。研究-tbl.研究-tbl-col-4 th:第n个孩子(1),研究-tbl.研究-tbl-col-4 th:第n个孩子(2),研究-tbl.研究-tbl-第4列第N个孩子(3),研究-tbl.研究-tbl-col-4 td:第n个孩子(1),研究-tbl.研究-tbl-col-4 td:第n个孩子(2),研究-tbl.研究-tbl-col-4td:nth child(3){宽度:17%;}。研究tbl td{背景颜色:#f9fcfe;}。右_内容ul{填充:5px 0 15px;}@media only screen和(max width:414px){.index block h2{margin top:20px;}}目录1。主要发现2。三大最安全机场3。数据源4。测试方法5。网站和网络应用安全6。Web应用防火墙使用7。网站TLS加密安全8。PCI DSS和GDPR网站合规性9。公共云安全10。邮件服务器安全11。移动应用程序和后端API安全12。暗网曝光13。公共代码库曝光14。如何降低风险$(function(){$(".blog toc a")。单击(function(){$('html,body').animate({scrollTop:$("h2"+$(this.attr("href")).offset().top-70},ddosntp防御,500);return false;};});主要发现网站安全性:97%的网站包含过时的web软件24%的网站包含已知和可利用的漏洞76%73%的网站不符合GDPR和PCI DSS,24%的网站没有SSL加密或使用过时的SSLv3 55%的网站受到WAF移动应用程序安全保护:100%的移动应用程序包含至少5个外部软件框架100%的移动应用程序至少包含2个漏洞平均每个应用程序检测到15个安全或隐私问题33.7%的移动应用程序传出流量没有加密暗网暴露、代码存储库和云:66%的机场暴露在暗网上325次暴露中有72次属于严重或高风险,表明严重违规87%的机场公开存在数据泄露代码存储库3184个漏洞中有503个具有严重或高风险,可能导致漏洞泄露3%的机场拥有未受保护的公共云敏感数据前3个最安全的机场在研究期间,下列哪些方法防御ddos,我们确定了3个成功通过所有测试且未发现一个重大问题的国际机场:阿姆斯特丹斯基浦机场(欧盟)赫尔辛基万塔机场(欧盟)都柏林机场(欧盟)它们不仅可以为航空业,cc攻击种类及防御方法,而且可以为所有其他行业提供值得称赞的榜样。数据来源该研究涵盖了Skytrax评选的全球六个地区(2019年)的世界100强机场:图1:机场位置测试方法我们利用了我们先前研究的一种增强的方法,该方法致力于顶级银行机构的应用安全,包括对其网络、移动和API安全的全面报道。本研究的方法还得到了基于OSIT的补充:公共云存储的发现和非侵入性安全测试(例如AWS S3)、暗黑网络暴露(例如市场和论坛)公共代码存储库(例如GitHub)的监测。对机场的以下外部IT资产进行了检测和测试在研究过程中以非侵入性方式确保安全性、合规性和隐私性:测试资产数量主要网站("www."域)100个子域(例如subdomain.example.com")1,346官方移动应用程序36移动应用程序的后端API 244外部公共云存储13外部SaaS/PaaS服务95大多数杠杆测试工具都可以在线免费获得,并可用于复制研究结果,以及监控改进:SSL安全测试[评分方法和检查列表]网站安全测试[评分方法和检查列表]移动应用程序安全测试[检查列表]我们的PCI DSS合规性测试包括要求2.3、4.1、6.2,本标准最新版本3.2.1的6.5和6.6(假设网站属于持卡人数据环境)。我们对GDPR合规性的测试涵盖了已颁布法规第5条第1款、第5条第2款、第6条第1款、第6款第4款(e)、第7条、第25条第1款、第32条第1款(a)(b)(d)项和第35款第7款(f)项(假设网站处理和/或存储欧盟居民的PII)。为了实现暗网监控、攻击面管理(包括发现PaaS、SaaS和私有/公共云存储)以及代码库爬行,我们利用了ImmuniWeb发现技术。Forrester在最近的研究中说,网站和Web应用程序的安全应用程序漏洞和软件漏洞仍然是网络犯罪分子进行外部攻击的最常见手段。遗憾的是,机场只有3个主要("www.")网站获得了最好的"A+"等级,15分得"A"级:图2:以下主要网站的网站安全等级是机场主要网站的详细安全评分:等级数量说明A+3没有发现单一问题或错误配置A15分钟问题或安全强化稍有不足B11几个小问题或安全强化不够C47安全漏洞或几个严重的错误配置发现F24可利用和公开的安全漏洞发现多达24个主要网站的"F"级失败,这意味着他们在CMS(例如WordPress)和/或web组件(例如jQuery)中有一个过时的软件,具有已知和可利用的安全漏洞。有些网站甚至有几个易受攻击的组件,详情如下:图3:易受攻击或过时的软件,高防服务器cdn,主要网站就子域而言,我们观察到只有17%的web应用程序得分为"A",而大多数web应用程序有一个失败的边界"C"级:图4:子域web应用程序的网站安全等级防火墙使用Gartner表示,Web应用防火墙(WAF)市场正在增长,这是由云Web应用和API保护服务的采用所驱动的。然而,waf在世界上最大的机场运行的web应用程序中并不多见。只有55%的主要网站和40%的子域受到WAF的保护:图5:Web应用程序防火墙的使用通常,组织通过阻止合法用户的请求来阻止其业务的棱镜来看待WAF,并简单地禁用这种必不可少的安全控制。网站TLS加密安全全面实施可靠的HTTPS TLS加密,确保网站访问者的隐私和更好的安全性。然而,在100个主要机场网站中,低至15个网站的"A+"等级最高。38分得了"A"级。多达24个主要网站不使用SSL/TLS加密("N"级)或使用过时的SSLv3协议(或存在其他主要问题),并以不合格的"F"等级评分:图6:以下主要网站TLS安全性为机场主要网站的详细安全评分:等级数量说明a+15未发现单个问题或配置错误A38个小问题或加密硬化B16稍有不足或不足加密强化c7安全漏洞或几个严重的错误配置发现F12SSLv3或一个可利用的安全漏洞发现N12No加密。然而,在子域中情况更糟,其中308个网站以"F"失败,75个不使用加密:图7:子域的TLS安全性以下是各机场子域的详细安全评分:等级数量说明a+188未发现单个问题或配置错误A424个小问题或加密强化不足B248几个小问题或加密强化不足C103安全漏洞或几个严重漏洞错误配置发现F308SSLv3或可利用的安全漏洞发现N75无加密PCI DSS和GDPR网站合规性即使PCI DSS合规性并不总是适用或必需的,防御ddos套餐,GDPR合规性似乎对国际机场至关重要。此外,PCI DSS和GDPR要求都涵盖了基本的安全方面(参见上述方法),任何人都不应忽视这些方面,即使不需要合规性。自2018年5月实施以来,GDPR已导致超过160000份数据泄露通知ac