漏洞数据摘要
本文旨在为读者概述我们过去15个月的部分渗透测试结果。这些数据收集于2025年9月底。令人震惊的是,这些数据与我们2022年底或2023年进行的先前分析结果差异不大。
测试概述
- 总测试次数:过去15个月进行了853次测试。
- 总测试页面数:各种评估中测试了56,000个页面。
- 平均发现和报告:
- 每份报告对应1.3次测试。
- 每份报告对应1.2名测试人员。
- 每份报告测试95个页面。
- 每份报告有13.5项发现。
按服务类型分析的总报告数
| 服务类型 | 数量 |
|---|---|
| 外部网络渗透测试 | 305 |
| 内部网络渗透测试 | 200 |
| Web应用程序渗透测试 | 190 |
| 假定失陷测试 | 112 |
| 命令与控制测试 | 47 |
| 云安全测试 | 42 |
按严重程度划分的总发现数
| 严重等级 | 发现数量 |
|---|---|
| 关键 | 138 |
| 高危 | 1,876 |
| 中危 | 2,730 |
| 低危 | 1,875 |
| 信息 | 1,706 |
关键发现
- 弱ADCS配置:52份报告
- 未修补的软件:6份报告
- 缺少身份验证和密码重用:5份报告
高危发现
- 未修补的软件:218份报告
- 不受支持的软件:216份报告
- 未要求SMB签名:138份报告
- 密码策略例外:110份报告
- 与MFA相关的发现:108份报告
中危发现
- 弱密码策略:171份报告
- 易受攻击和过时的组件:163份报告
- 数据丢失防护和出口过滤不足:123份报告
- 敏感数据未加密:117份报告
来自我们最新渗透测试发现的洞见
在不断发展的网络安全世界中,持续测试对于理解和降低风险至关重要。在过去15个月里,我们公司完成了853次渗透测试,审查了56,000个页面,发现了大约6,619个可能危害我们客户的漏洞。以下是我们关注到的、按服务类型分类的发现概览。
按服务类型的更多细节
数据显示,各种渗透测试服务都存在重大风险。值得注意的是,外部网络渗透测试是我们最常见的服务,有305份报告。此类测试旨在强调保护边界防御的重要性,因为它们通常是抵御外部威胁的第一道防线。
内部网络渗透测试以200份报告紧随其后,这强调了采取强大内部安全措施的必要性,特别是在内部威胁和内部漏洞可能导致数据泄露的环境下。
在此期间,我们完成了190次Web应用程序渗透测试。这一领域尤为关键,因为网络犯罪分子越来越多地以Web应用为目标来获取敏感数据的未授权访问。
假定失陷测试和C2测试通常是结合进行的,我们可以说这大约有150份报告。请记住,在这种测试中,我们从一个域凭证开始,而不必像大多数内部测试那样去获取它。
最后,我们的云安全评估包含42份报告,这是一项需求持续增长的服务。
需要改进的重点领域
在关键发现中,弱ADCS配置以52份报告位居榜首。此漏洞可在几分钟内允许证书伪造和特权访问,使其成为组织必须优先考虑的重大威胁。
另一个主要问题是未修补和不受支持的软件普遍存在,这在我们的发现中占据了突出位置。有218例未修补软件和216例不受支持软件的案例,表明组织需要优先考虑软件卫生以缓解这些常见漏洞。
此外,与多因素认证相关的发现突显了关键缺口。108份报告存在某种类型的MFA问题,这强调了跨系统全面强制执行的迫切需要。有效的MFA实践可以成为抵御未授权访问尝试的强大屏障。
结论:是时候采取行动了
BHIS为我们能合理分享一切而感到自豪。这些数据收集和我们的分析方法可能并不完美,可能存在固有偏差。但是,它们确实与CISA的声明、威瑞森的数据泄露摘要以及其他相关行业标准相当吻合。
因此,为渗透测试做准备很像为现代对手做准备。这里展示的是我们持续利用的一批漏洞。让我们共同努力,让世界变得更美好。我们在这里提供帮助。我们在这里支持您的网络安全成熟度。并且,我们在这里挑战现状并分享所有信息,没有付费墙,没有订阅,只有事实。
感谢阅读! -jd