肝脏出血?70%的银行和零售业应用容易遭受输入验证漏洞攻击
作者:星期四, 八月 28, 20140

Application Security

业界发现心脏出血漏洞已经过去小半年,但是漏洞的修补工作进度却不容乐观,虽然主流电商网站和设备厂商纷纷宣布修补了漏洞,但实际上,只有14%的网站正确修补了心脏出血漏洞(发现心脏出血漏洞8周后的数据)。

根据安全牛之前的报道,心脏出血漏洞对企业内网和数据安全的威胁才刚刚显露,造成的损失比web服务更大,而修复更加困难和漫长。

这绝非危言耸听,近日让全球医疗业和安全界震惊的大规模数据泄露事件——美国大型医疗机构“社区卫生系统”(CHS)遭入侵丢失450万病例数据,负责事件调查的安全公司Mandiant指出,黑客APT攻击利用的正是心脏出血漏洞,从CHS的一台Juniper网关设备的内存中收集用户证书,并利用这些证书通过VPN登录系统。

更加糟糕的是,医疗业的心脏出血漏洞只是行业应用安全隐患的冰山一角,近日软件测试公司CAST的一份调查显示,70%的金融和零售应用都容易遭受输入验证漏洞攻击。

该研究调查了超过200家大企业的1300个应用,代码量超过7亿行。而输入验证缺陷的主要原因是代码质量差,攻击者可以在用户信息输入区域放置并执行恶意代码。

CAST指出该漏洞的危害性堪比心脏出血,CAST在调查结果中指出:

  • 政府IT系统有61%的应用不存在输入验证漏洞,在各行业中表现最好。
  • 独立软件供应商的软件产品只有12%没有输入验证。
  • 金融服务业每个应用存在224个输入验证漏洞。

CAST首席科学家指出,该调查结果表明应用安全与软件质量同等重要,豆腐渣软件工程不但会导致系统崩溃、数据丢失,恢复困难,而且还会产生不计其数的安全漏洞。

据悉,CAST的调查结果将在9月份的CRASH报告中发布。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章