波兰计算机应急响应小组(CERT Polska)最新发布的一份报告显示,波兰教育机构的网络基础设施存在缺陷,建议其加强安全控制。

波兰计算机应急响应小组(波兰CERT)上周发布一份报告,研究了波兰国内各地学校及其他教育机构的大量网页资源。

波兰各级教育部门目前面临的主要问题有:安全配置错误、缺少针对网络攻击的预防措施以及遗留大量未经修复的漏洞

此外,只有42%的测试页面正确配置了SSL/TLS证书。

广泛研究

在本轮研究中,波兰CERT团队分析了来自全国各地教育部门的20464个网页

尽管一些网站只是简单的包含了学校的宣传手册信息,但也有一些网站包含了学生的敏感信息。

这些网站包括为应对新冠疫情专门建立的远程学习Web应用程序。

波兰CERT发言人在采访中表示,“我们发现的一些漏洞可能会导致网站被破坏,或者允许攻击者访问并转储网站数据库。”

“尽管大多数学校网站只是单纯展示信息,无法访问学生数据;但由于受到新冠疫情的影响,特别是在各年级学生从11月下旬起全面开展远程授课之后,网站的重要性开始有所提高。”

波兰CERT方面解释道,由于教育机构处理的是波兰国内“重要组成部分”公民的数据,因此必须严格保证信息的安全性。

这位发言人提到,“本次在互联网上面向公众的各项服务的大规模测试是我们迄今为止最大规模的尝试,但这仅是个开始。”

他们还补充道,“我们计划在不同领域推动更多定期测试。”

深度剖析

研究发现,有43%的网站使用WordPress或Joomla CMS框架

波兰CERT表示,他们发现在Joomla工具构建的全部波兰教育网站中,至少有25%的网站存在一项高危或严重高危漏洞,例如SQL注入或远程执行代码。

应急响应小组使用开源wpscan软件对WordPress网站进行检测,仅发现4%的网站上存在相同的安全漏洞

波兰CERT在采访中表示,“好消息是,我们发现WordPress与Joomla系统中有近一半已经是最新版本。”

研究同样发现大多数机构缺乏预防电子邮件欺诈的机制。

发言人提到,“在拥有MX记录的13522个域中,我们发现有9929个部署有适当的SPF政策,并且只有1297个是有效的DMARC记录。”

有效建议

波兰CERT表示,他们已经向每所学校及其托管服务供应商提供了最佳实践的建议,并制定了关于“如何修复漏洞、正确配置缺失策略、解决配置错误的定制计划,以及一系列包含但不限于Web及电子邮件服务的最佳实践。”

原文链接:

https://portswigger.net/daily-swig/mind-the-gap-cert-report-reveals-security-holes-across-polish-education-sector

声明:本文来自互联网安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。