在 SSL 加密和網站安全方面僅有三家機構獲得 A+ 的評價。

作者/來源： 安華金和

安全測試機構 ImmuniWeb 日前發布了一項全球大型金融機構安全評測報告。報告指出，就應用程序安全性、隱私保護和合規性而言，這些大型金融機構的安全狀況令人擔憂。全球 97% 的大型金融機構容易受到網路和移動攻擊，在 SSL 加密和網站安全方面僅有三家機構獲得 A+ 的評價。

這三家機構分別為瑞士信貸（Credit Suisse）、丹麥丹斯克銀行（Danske Bank）和瑞典 Handelsbanken 銀行。ImmuniWeb 在這三家金融機構的主要網站上沒有發現任何漏洞或配置錯誤。此外，還有五家金融機構因「發現存在可被利用的公開安全漏洞」而未能通過檢測。

據悉，在 ImmuniWeb 進行的評測中，共有 40 家機構的評價結果為 A，20 家機構為 B，還有 31 家機構被評為 C。A 表示被發現的安全問題「微不足道」或「略顯不足」；B 意味著發現一些小問題或者未發現足夠的安全強化問題；而 C 則表示網站上有安全漏洞或數個嚴重的錯誤配置。

在電子銀行方面，獲得 A+ 評價的機構略多一些，達到 15 家；A 為 27 家；B 為 13 家；C 為 40 家。另外還有 7 家機構獲得 F 評價，代表被發現存在可利用的公開安全漏洞。

就主網站的 SSL/TLS 加密安全等級而言，獲得 A+ 評價的金融機構有所提高，但也有未能通過檢測的機構。其中，共有 25 家金融機構獲得 A+ 評價，A 為 54 家；B 為 7 家；僅有一家金融機構獲得 C 評價，但也有 13 家金融機構沒有採用加密，或者被發現存在可利用的安全漏洞而未能通過檢測。電子銀行網路應用程序的 SSL/TLS 加密總體表現要好一些，共有 29 家金融機構獲得最高的 A+ 評價，僅有兩家金融機構未能通過檢測。

另外，只有 39 家金融機構通過《通用數據保護條例》（GDPR）主站合規性測試，共有 2081 個子域名未通過測試。電子銀行網站通過 GDPR 合規性測試的僅有 17 家機構。

Immuniweb 透露，每個網站平均包含兩個不同的 web 軟體組件，JS 庫、框架或其他第三方代碼。多達 29 個網站包含至少一個公開披露的中等或高風險的未修補安全漏洞。在研究過程中檢測到的最原始的未打補丁的漏洞是 jQuery 1.6.1 版本中的 CVE-2011-4969，這個漏洞最早在 2011 年被發現。ImmuniWeb 表示，最常見的網站漏洞是 XSS（跨站點腳本，OWASP A7）、敏感數據暴露（OWASP A3）和安全錯誤配置（OWASP A6）。

此外，過期組件在二級域名更加糟糕：81% 的二級域名含有過期組件，2% 的二級域名存在已被公開披露並且可被利用的中、高風險漏洞。

ImmuniWeb 表示，該機構所調查的銀行都存在安全漏洞或與被棄用的二級域名相關的問題。

該機構還對網路釣魚攻擊進行檢測，研究發現在 29 起活躍的網路釣魚活動中，大多數惡意網站都在美國託管，其中美國銀行的客戶受到的攻擊次數最高，達到 8 次，富國銀行和摩根大通次之，分別為 7 次和 3 次。在檢測中，摩根大通總共有受到 227 次網路釣魚攻擊。

調查還拓展到移動銀行應用程序，ImmuniWeb 表示，有 55 家銀行允許訪問敏感的銀行數據。這些移動應用程序總共與 298 個後端 API 進行通信，以便從各自的銀行發送或接收數據。

Immuniweb 直言這些發現「令人相當擔憂」。報告指出所有的移動銀行應用程序至少包含一個低風險安全漏洞，92% 移動銀行應用程序至少包含一個中等風險安全漏洞，還有 20% 包含至少一個高風險漏洞。

Immuniweb 首席執行官兼創始人伊利亞·科洛琴科（Ilia Kolochenko）最後表示，考慮到研究方法不具有侵入性，以及銀行機構可利用重要財政資源，研究結果表明金融機構有必要迅速修訂並加強其現有的應用程序安全方法。

來源：鳳凰網科技

更多資訊

2500 萬 Android 設備被「Agent Smith」惡意軟體感染根據報道，一種名為 Agent Smith 的新型 Android 惡意軟體已經感染了 2500 萬部手機，其目的是推送廣告或劫持有效的廣告事件。受害者被引誘從第三方應用商店下載偽裝成照片應用程序、色情相關應用程序或遊戲等病毒程序，一旦下載完畢，這些程序就會下載 Agent Smith。該惡意軟體通常偽裝成 Google Updater、Google Update for U 或 com.google.vending 等實用工具 ，並對用戶隱藏其圖標。

來源： 開源中國

詳情： http://www.dbsec.cn/zx/20190712-2.html

30 款 App 違規收集個人信息被通報 含探探、韻達快遞等App 專項治理工作組公告顯示，探探、人人、趣店、春雨醫生、天天酷跑、韻達快遞等 30 款 App 因違反《網路安全法》關於收集使用個人信息的規定，被通報整改。根據公告顯示，中國銀行手機銀行、春雨醫生、魔漫相機、韻達快遞等 10 款 App 違反《網路安全法》第四十一條「公開使用收集個人信息規則」的要求，無隱私政策。

來源： cnBeta.COM

詳情： http://www.dbsec.cn/zx/20190712-3.html

刷好評刪差評將被列入嚴重失信名單國家市場監管總局公布了《嚴重違法失信名單管理辦法（修訂草案徵求意見稿）》，意見遞交截止日期為 2019 年 8 月 10 日。《徵求意見稿》包含了兩條與電商相關的條款...

來源： solidot.org

詳情： http://www.dbsec.cn/zx/20190712-4.html

報告稱 2018 年發生百萬起網路襲擊 損失逾 450 億美元中新網7月11日電 綜合報道，一項報告指出，2018 年，全球估計發生了超過 200 萬起網路襲擊事件，造成逾 450 億美元的損失，不少地方政府受到惡意攻擊而疲於奔命，但其實有超過 95% 的網路攻擊皆可避免。

來源： 中國新聞網

詳情： http://www.dbsec.cn/zx/20190712-5.html

（信息來源於網路，安華金和搜集整理）

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！