漏洞数据摘要
本文旨在为读者概述过去15个月内的渗透测试结果。这些数据收集于2025年9月底。令人震惊的是,这些数据与我们2022年底或2023年进行的先前分析结果差异不大。
测试概况
- 总测试次数:过去15个月完成853次测试
- 测试页面总数:跨各种评估的56,000个页面
- 平均发现和报告:
- 每份报告1.3次测试
- 每份报告1.2名测试人员
- 每份报告95个页面
- 每份报告13.5个发现
按服务类型统计的总报告数
| 服务类型 | 数量 |
|---|---|
| 外部网络渗透测试 | 305 |
| 内部网络渗透测试 | 200 |
| Web应用渗透测试 | 190 |
| 假设入侵测试 | 112 |
| 命令与控制测试 | 47 |
| 云安全测试 | 42 |
按严重程度统计的发现总数
| 严重级别 | 发现数量 |
|---|---|
| 严重 | 138 |
| 高 | 1,876 |
| 中 | 2,730 |
| 低 | 1,875 |
| 信息性 | 1,706 |
严重发现
- 弱ADCS配置:52份报告
- 未修复软件:6份报告
- 缺失认证和密码重用:5份报告
高危发现
- 未修复软件:218份报告
- 不受支持软件:216份报告
- 不需要SMB签名:138份报告
- 密码策略例外:110份报告
- MFA相关发现:108份报告
中等发现
- 弱密码策略:171份报告
- 易受攻击和过时组件:163份报告
- DLP和出口过滤不足:123份报告
- 敏感数据未加密:117份报告
最新渗透测试发现的见解
在不断发展的网络安全世界中,持续测试对于理解和减轻风险至关重要。过去15个月中,我们公司完成了853次渗透测试,仔细检查了56,000个页面,发现了大约6,619个可能危及客户的漏洞。以下是我们关注的一些发现,按服务类型分类。
按服务类型的额外细节
数据显示各种渗透测试服务存在显著风险。值得注意的是,外部网络渗透测试是我们最常见的服务,有305份报告。这种测试旨在强调保护边界防御的重要性,因为它们通常是对抗外部威胁的第一道防线。
内部网络渗透测试紧随其后,有200份报告,强调了需要强大的内部安全措施,特别是在内部威胁和内部漏洞可能导致数据泄露的环境中。
我们在此期间完成了190次Web应用渗透测试。这个领域特别关键,因为网络犯罪分子越来越多地针对Web应用来获取对敏感数据的未经授权访问。
假设入侵和C2测试通常结合进行,大约还有150份报告。请记住,在这里我们从域凭据开始,不需要像大多数内部测试那样获取它。
最后,我们的云评估包括42份报告,这是一项需求持续增长的服务。
需要改进的重点领域
在关键发现中,弱ADCS配置以52份报告位居榜首。此漏洞可在几分钟内允许证书伪造和特权访问,使其成为组织必须优先考虑的重大威胁。
另一个主要关注点是未修复和不受支持软件的普遍存在,这在我们的发现中占据突出地位。有218个未修复软件实例和216个不受支持软件实例,组织需要优先考虑软件卫生以减轻这些常见漏洞。
此外,与多因素认证(MFA)相关的发现突出了关键差距。108份报告存在某种类型的MFA问题,强调了在系统间全面执行的迫切需要。有效的MFA实践可以作为对抗未经授权访问尝试的强大屏障。
结论:采取行动的时候到了
BHIS以分享我们合理能够分享的一切为荣。这种数据收集和我们的分析方法可能不完美,可能包含固有偏见。但是,它们与CISA的主张、Verizon的数据泄露摘要和其他相关行业标准相当吻合。
因此,准备渗透测试很像准备应对现代对手。这里列出了我们持续利用的漏洞选择。让我们一起让世界变得更美好。我们在这里提供帮助。我们在这里支持您的网络安全成熟度。而且,我们在这里挑战现状并全部免费分享,没有付费墙,没有订阅,只有事实。
感谢阅读!-jd