来自 CC防护 2021-06-10 17:00 的文章

cc攻击防御_ddos高防ip阿里云_超稳定

cc攻击防御_ddos高防ip阿里云_超稳定

ImmuniWeb>安全博客应用程序安全状况全球100强金融科技初创公司17.8k 6 21 7 12更多14 9 12周二,高防cdn国际,2019年8月20日,星期二阅读时间:9分钟。100家最著名和资金充足的金融科技初创公司中有98家易受网络钓鱼攻击,web和移动应用程序安全攻击。CB Insights最近编制了一份题为"金融科技250强:2018年顶尖金融科技创业公司"的报告。根据这份报告,这250家公司已经在947宗交易中筹集了大约530亿美元的资金。该报告包括处于不同投资发展阶段的公司,从早期(种子/系列A)到资金充足的独角兽。今天,我们看到了数字化转型,新兴金融科技公司对传统银行模式的影响越来越大。每个人都可能听说过Revolute,一个改变游戏规则的独角兽的突出例子。uberization、区块链和人工智能技术的迅速扩散,造成了全球金融业的整体混乱和震动。鉴于我们收到的关于"标准普尔全球100家最大银行的应用安全状况"的积极反馈,我们决定对上述CB Insights报告中的100家金融科技初创企业进行类似的研究。本研究旨在了解金融科技公司的整体网络及应用安全状况,成功防御世上最大DDOS攻击,并与传统银行的研究结果进行比较。右_contentp img,.blog item p img{border:1px solid#67abe2;}.resbanktbl{border collapse:collapse;margin:10px 0 30px;宽度:100%;}.resbanktbl td,.resbanktbl th{border:1px solid#67abe2;填充:8px 10px;文本-对齐:居中;}.resbanktbl th{背景色:#dcf2fd;字体粗体:粗体;垂直对齐:中间;}.resbanktbl th:第一个子级,.resbanktbl td:第一个子级{空白:nowrap;文本-对齐:居中;}.resbanktbl th:最后一个子级,.resbanktbl td:最后一个子级{text align:left;}。resbanktbl.resbanktbl-第1名:第一个孩子。resbanktbl.resbanktbl-1td:第一个子级{text align:left;}。resbanktbl.resbanktbl-第1名:最后一个孩子,.resbanktbl.resbanktbl-1td:last child{text align:center;}.resbanktbl td{背景色:#f9fcfe;}.resbanktbl基准测试td.td公司-绿色{背景:#9ddd92;}.resbanktbl benchmarktd.td公司-橙色{背景:#ffd74e;}。免费服务等级{颜色:#FFFFFF;边框半径:5px;填充:0 5px;显示:内联块;float:right;}.免费服务-免费等级-服务等级a级{背景色:#5cb85c;}。右_内容ul{padding:5px 0 15px;}@仅媒体屏幕和(最大宽度:414px){索引块h2{边距顶部:20px;}.resbanktbl benchmark td{空白:正常!重要信息;}}关键发现安全性100%的公司都有与被放弃或遗忘的web应用程序、api和子域相关的安全、隐私和合规性问题。公司8个主要网站和64个子域名至少有一个公开披露和可利用的中高风险安全漏洞。最常见的网站漏洞是XSS(跨站点脚本,OWASP A7)、敏感数据暴露(OWASP A3)和安全配置错误(OWASP A6)。最早的未修补安全漏洞是CVE-2012-6708,它影响了自2012年以来广为人知的jQuery 1.7.2。100%的移动应用程序至少存在1个中等风险的安全漏洞,97%的应用程序至少存在2个中高风险漏洞。56%的移动应用程序后端(REST/SOAP api)存在与SSL/TLS配置相关的严重错误配置或隐私问题,以及web服务器安全强化不足。合规性62%的公司即使在其主要网站上也未通过PCI DSS合规性测试。64%的公司同样未能通过其主要网站的GDPR合规性测试。目录1。方法和数据来源2。网站安全3。SSL/TLS加密安全4。PCI DSS和GDPR网站合规性6。Web应用程序防火墙的使用7。移动应用程序和后端API 8。商标侵权和品牌滥用9。标普全球100家最大银行的基准10家。建议和结论方法论和数据来源我们利用了以前银行业研究中的增强方法,该方法涵盖了标普全球评级的全球100家最大银行的网络和移动应用程序安全。利用OSINT发现和非侵入性测试技术,高防CDN可以吗,我们仔细研究了外部web应用程序,上述CB Insights报告中公司的API和移动应用程序包括6个地区和17个国家的公司:图1:按地区划分的金融科技公司数量在研究期间对公司的以下外部资产和应用程序进行了测试:测试资产数量主要网站("www."域)100个子域(例如subdomain.example.com")3580移动应用程序61移动应用程序的后端API 1444我们进行了各种非侵入性的安全、隐私和合规性检查。所有的测试工具都可以在线使用,可以自由地用来复制研究结果,cdn可以防御住ddos攻击吗,以及在修复所描述的安全缺陷后验证改进:SSL安全测试[评分方法和检查列表]网站安全测试[评分方法和检查列表]移动应用程序安全测试[检查列表]网络钓鱼测试[检查列表]PCI DSS合规性测试涵盖了本标准最新版本3.2.1的要求2.3、4.1、6.2、6.5和6.6(假设网站属于持卡人数据环境)。GDPR合规性测试包括已颁布法规第5条第1款、第5条第2款、第6条第1款、第6条第4款(e)、第7条、第25条第1款、第32条第1款(a)(b)(d)项和第35条第7款(f)项(假设网站处理和/或存储欧盟居民的PII)。开放源代码和专有web软件的非侵入性软件组合分析(SCA)验证了OWASP前10名列表中公开披露的漏洞的指纹软件版本。此外,还审计了内容安全策略(CSP)和其他与安全和隐私相关的HTTP报头。域名安全和恶意抢占也在本研究中。网站安全只有2个主要网站在(1)SSL加密和(2)网站安全完全符合适用的PCI DSS和GDPR合规要求的"A+"级最高:Brex公司(网站)A+N26股份有限公司(N26公司)()在剩下的主要网站上,我们发现了64个与过时的网络软件有关的安全问题或其组成部分。一个网站有多达17个过时的JS库和其他外部软件组件。平均而言,每个网站至少包含一个第三方组件,如JS库、web框架或其他第三方代码。以下是主要网站的安全等级:图2:主要网站的网站安全测试等级数量简要说明(具体方法见上文)A+9未发现单个问题或配置错误37个小问题或安全性稍有不足B15几个小问题或安全性不足加强C33安全漏洞或几个严重的错误配置发现F6可利用和公开的安全漏洞发现鉴于主网站的重要性,多达6个失败的"F"级是一个惊人的重要数字。然而,子域的情况要严重得多。总的来说,我们已经在测试的子域中识别出超过2474个过时的软件组件。与子域不安全相关的简要数字如下:1,074个子域至少有一个过时的软件组件64个子域至少有一个过时的软件组件存在可利用的漏洞最老的易受攻击的CMS是WordPress 4.7.1,目前已知的26个安全问题如下:图3:网站安全测试子域等级数量简要说明(详细方法见上文)A+277未发现单个问题或配置错误A1134发现微小问题或安全强化稍有不足B554几个小问题或安全强化不足C1551安全漏洞或几个严重错误配置被发现F64可利用而公开的安全漏洞发现SSL/TLS加密的安全实现和配置HTTPS的SSL/TLS加密做得非常好。只有一家主要网站得分为"B"级,ddos如何免费防御,虽然所有其他人都获得了值得称赞的"A"甚至是最高的"A+"等级:图4:主要网站的SSL安全测试等级数量简要说明(详细方法见上文)A+38没有发现一个问题或配置错误,发现了61分钟的问题或加密硬化B1稍有不足B1几个小问题或加密强化不足类似于上述网站安全问题,在子域上使用HTTPS加密的情况令人担忧。多达93个子域的"F"级不及格,537的SSL证书不可信或过期:图5:子域SSL安全测试等级数量简要说明(请参阅上面的详细方法)A+517未发现任何单一问题或配置错误A1060个小问题或加密硬化B150稍有不足或加密不足加固C26安全漏洞或几个严重的错误配置发现F93没有加密,以下发现的SSLv3或可利用的安全漏洞PCI DSS和GDPR网站符合性下面是主要网站的PCI DSS符合性测试:图6:主要网站的PCI DSS符合性测试多达62个网站未通过PCI DSS符合性测试的适用要求。主要原因是过时的开源和商业软件及其组件(要求6.2)。然而,子域的PCI DSS符合性测试与主要网站相当:图7:下面子域的PCI DSS符合性是GDPR compl