为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。
接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。
知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。
获取最新安全动态
安全测试机构ImmuniWeb日前发布了一项全球大型金融机构安全评测报告。报告指出,就应用程序安全性、隐私保护和合规性而言,这些大型金融机构的安全状况令人担忧。全球97%的大型金融机构容易受到网络和移动攻击,在SSL加密和网站安全方面仅有三家机构获得A+的评价。
这三家机构分别为瑞士信贷(Credit Suisse)、丹麦丹斯克银行(Danske Bank)和瑞典Handelsbanken银行。ImmuniWeb在这三家金融机构的主要网站上没有发现任何漏洞或配置错误。此外,还有五家金融机构因“发现存在可被利用的公开安全漏洞”而未能通过检测。
据悉,在ImmuniWeb进行的评测中,共有40家机构的评价结果为A,20家机构为B,还有31家机构被评为C。A表示被发现的安全问题“微不足道”或“略显不足”;B意味着发现一些小问题或者未发现足够的安全强化问题;而C则表示网站上有安全漏洞或数个严重的错误配置。
在电子银行方面,获得A+评价的机构略多一些,达到15家;A为27家;B为13家;C为40家。另外还有7家机构获得F评价,代表被发现存在可利用的公开安全漏洞。
就主网站的SSL/TLS加密安全等级而言,获得A+评价的金融机构有所提高,但也有未能通过检测的机构。其中,共有25家金融机构获得A+评价,A为54家;B为7家;仅有一家金融机构获得C评价,但也有13家金融机构没有采用加密,或者被发现存在可利用的安全漏洞而未能通过检测。电子银行网络应用程序的SSL/TLS加密总体表现要好一些,共有29家金融机构获得最高的A+评价,仅有两家金融机构未能通过检测。
另外,只有39家金融机构通过《通用数据保护条例》(GDPR)主站合规性测试,共有2081个子域名未通过测试。电子银行网站通过GDPR合规性测试的仅有17家机构。
Immuniweb透露,每个网站平均包含两个不同的web软件组件,JS库、框架或其他第三方代码。多达29个网站包含至少一个公开披露的中等或高风险的未修补安全漏洞。在研究过程中检测到的最原始的未打补丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969,这个漏洞最早在2011年被发现。ImmuniWeb表示,最常见的网站漏洞是XSS(跨站点脚本,OWASP A7)、敏感数据暴露(OWASP A3)和安全错误配置(OWASP A6)。
此外,过期组件在二级域名更加糟糕:81%的二级域名含有过期组件,2%的二级域名存在已被公开披露并且可被利用的中、高风险漏洞。
ImmuniWeb表示,该机构所调查的银行都存在安全漏洞或与被弃用的二级域名相关的问题。
该机构还对网络钓鱼攻击进行检测,研究发现在29起活跃的网络钓鱼活动中,大多数恶意网站都在美国托管,其中美国银行的客户受到的攻击次数最高,达到8次,富国银行和摩根大通次之,分别为7次和3次。在检测中,摩根大通总共有受到227次网络钓鱼攻击。
调查还拓展到移动银行应用程序,ImmuniWeb表示,有55家银行允许访问敏感的银行数据。这些移动应用程序总共与298个后端API进行通信,以便从各自的银行发送或接收数据。
Immuniweb直言这些发现“令人相当担忧”。报告指出所有的移动银行应用程序至少包含一个低风险安全漏洞,92%移动银行应用程序至少包含一个中等风险安全漏洞,还有20%包含至少一个高风险漏洞。
Immuniweb首席执行官兼创始人伊利亚·科洛琴科(Ilia Kolochenko)最后表示,考虑到研究方法不具有侵入性,以及银行机构可利用重要财政资源,研究结果表明金融机构有必要迅速修订并加强其现有的应用程序安全方法。
售前支持
400-161-0866