大发快3注册 龙虎大战计划 3分排列3计划 线上购彩规则 天天快3网址 湖南幸运赛车 极速3D平台 大发pk拾网址 百人牛牛开户 欢乐30秒网址 超级快3玩法 彩票走势图玩法 十分11选5规则 三分排列3手机版 幸运快乐8平台 越南时时彩官网 大发红黑大战开户 一分pk拾计划 极速PK10 大发百人牛牛开户 幸运三分快3 幸运赛车规则 极速快3手机版 极速三分快3规则 中博平台计划 必赢时时彩开户 3分排列3规则 极速PK拾注册 极速3D官网 分分pk拾官网

内容字号:默认大号超大号

段落设置:取消段首缩进段首缩进

字体设置:切换到微软雅黑切换到宋体

业界资讯软件之家
Win10之家WP之家
iPhone之家iPad之家
安卓之家数码之家
评测中心智能设备
精准搜索请尝试:精确搜索

报告:全世界97%的银行都无法保障你存款的安全

2019-7-11 17:53:08来源:凤凰科技作者:良弼责编:嗜橙评论:

北京时间7月11日消息,安全测试机构ImmuniWeb日前发布了一项全球大型金融机构安全评测报告。报告指出,就应用程序安全性、隐私保护和合规性而言,这些大型金融机构的安全状况令人担忧。全球97%的大型金融机构容易受到网络和移动攻击,在SSL加密和网站安全方面仅有三家机构获得A+的评价。

这三家机构分别为瑞士信贷(Credit Suisse)、丹麦丹斯克银行(Danske Bank)和瑞典Handelsbanken银行。ImmuniWeb在这三家金融机构的主要网站上没有发现任何漏洞或配置错误。此外,还有五家金融机构因“发现存在可被利用的公开安全漏洞”而未能通过检测。

据悉,在ImmuniWeb进行的评测中,共有40家机构的评价结果为A,20家机构为B,还有31家机构被评为C。A表示被发现的安全问题“微不足道”或“略显不足”;B意味着发现一些小问题或者未发现足够的安全强化问题;而C则表示网站上有安全漏洞或数个严重的错误配置。

在电子银行方面,获得A+评价的机构略多一些,达到15家;A为27家;B为13家;C为40家。另外还有7家机构获得F评价,代表被发现存在可利用的公开安全漏洞。

就主网站的SSL/TLS加密安全等级而言,获得A+评价的金融机构有所提高,但也有未能通过检测的机构。其中,共有25家金融机构获得A+评价,A为54家;B为7家;仅有一家金融机构获得C评价,但也有13家金融机构没有采用加密,或者被发现存在可利用的安全漏洞而未能通过检测。电子银行网络应用程序的SSL/TLS加密总体表现要好一些,共有29家金融机构获得最高的A+评价,仅有两家金融机构未能通过检测。

另外,只有39家金融机构通过《通用数据保护条例》(GDPR)主站合规性测试,共有2081个子域名未通过测试。电子银行网站通过GDPR合规性测试的仅有17家机构。

Immuniweb透露,每个网站平均包含两个不同的web软件组件,JS库、框架或其他第三方代码。多达29个网站包含至少一个公开披露的中等或高风险的未修补安全漏洞。在研究过程中检测到的最原始的未打补丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969,这个漏洞最早在2011年被发现。ImmuniWeb表示,最常见的网站漏洞是XSS(跨站点脚本,OWASP A7)、敏感数据暴露(OWASP A3)和安全错误配置(OWASP A6)。

此外,过期组件在二级域名更加糟糕:81%的二级域名含有过期组件,2%的二级域名存在已被公开披露并且可被利用的中、高风险漏洞。

ImmuniWeb表示,该机构所调查的银行都存在安全漏洞或与被弃用的二级域名相关的问题。

该机构还对网络钓鱼攻击进行检测,研究发现在29起活跃的网络钓鱼活动中,大多数恶意网站都在美国托管,其中美国银行的客户受到的攻击次数最高,达到8次,富国银行和摩根大通次之,分别为7次和3次。在检测中,摩根大通总共有受到227次网络钓鱼攻击。

调查还拓展到移动银行应用程序,ImmuniWeb表示,有55家银行允许访问敏感的银行数据。这些移动应用程序总共与298个后端API进行通信,以便从各自的银行发送或接收数据。

Immuniweb直言这些发现“令人相当担忧”。报告指出所有的移动银行应用程序至少包含一个低风险安全漏洞,92%移动银行应用程序至少包含一个中等风险安全漏洞,还有20%包含至少一个高风险漏洞。

Immuniweb首席执行官兼创始人伊利亚·科洛琴科(Ilia Kolochenko)最后表示,考虑到研究方法不具有侵入性,以及银行机构可利用重要财政资源,研究结果表明金融机构有必要迅速修订并加强其现有的应用程序安全方法。

相关文章

关键词:银行网络

IT之家,软媒旗下科技门户网站 - 爱科技,爱这里。

Copyright (C)RuanMei.com, All Rights Reserved.

软媒公司版权所有