這三家機(jī)構(gòu)分別為瑞士信貸(Credit Suisse)、丹麥丹斯克銀行(Danske Bank)和瑞典Handelsbanken銀行。ImmuniWeb在這三家金融機(jī)構(gòu)的主要網(wǎng)站上沒有發(fā)現(xiàn)任何漏洞或配置錯(cuò)誤。此外,還有五家金融機(jī)構(gòu)因“發(fā)現(xiàn)存在可被利用的公開安全漏洞”而未能通過。
據(jù)悉,在ImmuniWeb進(jìn)行的評測中,共有40家機(jī)構(gòu)的評價(jià)結(jié)果為A,20家機(jī)構(gòu)為B,還有31家機(jī)構(gòu)被評為C。A表示被發(fā)現(xiàn)的安全問題“微不足道”或“略顯不足”;B意味著發(fā)現(xiàn)一些小問題或者未發(fā)現(xiàn)足夠的安全強(qiáng)化問題;而C則表示網(wǎng)站上有安全漏洞或數(shù)個(gè)嚴(yán)重的錯(cuò)誤配置。
在電子銀行方面,獲得A+評價(jià)的機(jī)構(gòu)略多一些,達(dá)到15家;A為27家;B為13家;C為40家。另外還有7家機(jī)構(gòu)獲得F評價(jià),代表被發(fā)現(xiàn)存在可利用的公開安全漏洞。
就主網(wǎng)站的SSL/TLS加密安全等級而言,獲得A+評價(jià)的金融機(jī)構(gòu)有所提高,但也有未能通過檢測的機(jī)構(gòu)。其中,共有25家金融機(jī)構(gòu)獲得A+評價(jià),A為54家;B為7家;僅有一家金融機(jī)構(gòu)獲得C評價(jià),但也有13家金融機(jī)構(gòu)沒有采用加密,或者被發(fā)現(xiàn)存在可利用的安全漏洞而未能通過檢測。電子銀行網(wǎng)絡(luò)應(yīng)用程序的SSL/TLS加密總體表現(xiàn)要好一些,共有29家金融機(jī)構(gòu)獲得最高的A+評價(jià),僅有兩家金融機(jī)構(gòu)未能通過檢測。
另外,只有39家金融機(jī)構(gòu)通過《通用數(shù)據(jù)保護(hù)條例》(GDPR)主站合規(guī)性測試,共有2081個(gè)子域名未通過測試。電子銀行網(wǎng)站通過GDPR合規(guī)性測試的僅有17家機(jī)構(gòu)。
Immuniweb透露,每個(gè)網(wǎng)站平均包含兩個(gè)不同的web軟件組件,JS庫、框架或其他第三方代碼。多達(dá)29個(gè)網(wǎng)站包含至少一個(gè)公開披露的中等或高風(fēng)險(xiǎn)的未修補(bǔ)安全漏洞。在研究過程中檢測到的最原始的未打補(bǔ)丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969,這個(gè)漏洞最早在2011年被發(fā)現(xiàn)。ImmuniWeb表示,最常見的網(wǎng)站漏洞是XSS(跨站點(diǎn)腳本,OWASP A7)、敏感數(shù)據(jù)暴露(OWASP A3)和安全錯(cuò)誤配置(OWASP A6)。
此外,過期組件在二級域名更加糟糕:81%的二級域名含有過期組件,2%的二級域名存在已被公開披露并且可被利用的中、高風(fēng)險(xiǎn)漏洞。
ImmuniWeb表示,該機(jī)構(gòu)所調(diào)查的銀行都存在安全漏洞或與被棄用的二級域名相關(guān)的問題。
該機(jī)構(gòu)還對網(wǎng)絡(luò)釣魚攻擊進(jìn)行檢測,研究發(fā)現(xiàn)在29起活躍的網(wǎng)絡(luò)釣魚活動中,大多數(shù)惡意網(wǎng)站都在美國托管,其中美國銀行的客戶受到的攻擊次數(shù)最高,達(dá)到8次,富國銀行和摩根大通次之,分別為7次和3次。在檢測中,摩根大通總共有受到227次網(wǎng)絡(luò)釣魚攻擊。
調(diào)查還拓展到移動銀行應(yīng)用程序,ImmuniWeb表示,有55家銀行允許訪問敏感的銀行數(shù)據(jù)。這些移動應(yīng)用程序總共與298個(gè)后端API進(jìn)行通信,以便從各自的銀行發(fā)送或接收數(shù)據(jù)。
這三家機(jī)構(gòu)分別為瑞士信貸(Credit Suisse)、丹麥丹斯克銀行(Danske Bank)和瑞典Handelsbanken銀行。ImmuniWeb在這三家金融機(jī)構(gòu)的主要網(wǎng)站上沒有發(fā)現(xiàn)任何漏洞或配置錯(cuò)誤。此外,還有五家金融機(jī)構(gòu)因“發(fā)現(xiàn)存在可被利用的公開安全漏洞”而未能通過。
據(jù)悉,在ImmuniWeb進(jìn)行的評測中,共有40家機(jī)構(gòu)的評價(jià)結(jié)果為A,20家機(jī)構(gòu)為B,還有31家機(jī)構(gòu)被評為C。A表示被發(fā)現(xiàn)的安全問題“微不足道”或“略顯不足”;B意味著發(fā)現(xiàn)一些小問題或者未發(fā)現(xiàn)足夠的安全強(qiáng)化問題;而C則表示網(wǎng)站上有安全漏洞或數(shù)個(gè)嚴(yán)重的錯(cuò)誤配置。
在電子銀行方面,獲得A+評價(jià)的機(jī)構(gòu)略多一些,達(dá)到15家;A為27家;B為13家;C為40家。另外還有7家機(jī)構(gòu)獲得F評價(jià),代表被發(fā)現(xiàn)存在可利用的公開安全漏洞。
就主網(wǎng)站的SSL/TLS加密安全等級而言,獲得A+評價(jià)的金融機(jī)構(gòu)有所提高,但也有未能通過檢測的機(jī)構(gòu)。其中,共有25家金融機(jī)構(gòu)獲得A+評價(jià),A為54家;B為7家;僅有一家金融機(jī)構(gòu)獲得C評價(jià),但也有13家金融機(jī)構(gòu)沒有采用加密,或者被發(fā)現(xiàn)存在可利用的安全漏洞而未能通過檢測。電子銀行網(wǎng)絡(luò)應(yīng)用程序的SSL/TLS加密總體表現(xiàn)要好一些,共有29家金融機(jī)構(gòu)獲得最高的A+評價(jià),僅有兩家金融機(jī)構(gòu)未能通過檢測。
另外,只有39家金融機(jī)構(gòu)通過《通用數(shù)據(jù)保護(hù)條例》(GDPR)主站合規(guī)性測試,共有2081個(gè)子域名未通過測試。電子銀行網(wǎng)站通過GDPR合規(guī)性測試的僅有17家機(jī)構(gòu)。
Immuniweb透露,每個(gè)網(wǎng)站平均包含兩個(gè)不同的web軟件組件,JS庫、框架或其他第三方代碼。多達(dá)29個(gè)網(wǎng)站包含至少一個(gè)公開披露的中等或高風(fēng)險(xiǎn)的未修補(bǔ)安全漏洞。在研究過程中檢測到的最原始的未打補(bǔ)丁的漏洞是jQuery 1.6.1版本中的CVE-2011-4969,這個(gè)漏洞最早在2011年被發(fā)現(xiàn)。ImmuniWeb表示,最常見的網(wǎng)站漏洞是XSS(跨站點(diǎn)腳本,OWASP A7)、敏感數(shù)據(jù)暴露(OWASP A3)和安全錯(cuò)誤配置(OWASP A6)。
此外,過期組件在二級域名更加糟糕:81%的二級域名含有過期組件,2%的二級域名存在已被公開披露并且可被利用的中、高風(fēng)險(xiǎn)漏洞。
ImmuniWeb表示,該機(jī)構(gòu)所調(diào)查的銀行都存在安全漏洞或與被棄用的二級域名相關(guān)的問題。
該機(jī)構(gòu)還對網(wǎng)絡(luò)釣魚攻擊進(jìn)行檢測,研究發(fā)現(xiàn)在29起活躍的網(wǎng)絡(luò)釣魚活動中,大多數(shù)惡意網(wǎng)站都在美國托管,其中美國銀行的客戶受到的攻擊次數(shù)最高,達(dá)到8次,富國銀行和摩根大通次之,分別為7次和3次。在檢測中,摩根大通總共有受到227次網(wǎng)絡(luò)釣魚攻擊。
調(diào)查還拓展到移動銀行應(yīng)用程序,ImmuniWeb表示,有55家銀行允許訪問敏感的銀行數(shù)據(jù)。這些移動應(yīng)用程序總共與298個(gè)后端API進(jìn)行通信,以便從各自的銀行發(fā)送或接收數(shù)據(jù)。
