《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 99%的網(wǎng)站JavaScript插件面臨攻擊風險

99%的網(wǎng)站JavaScript插件面臨攻擊風險

2020-07-15
來源:安全牛
關(guān)鍵詞: web安全 JavaScript 漏洞

  Tala Security今天發(fā)布的一份web安全報告顯示,全球Web安全狀況急劇惡化,,99%的網(wǎng)站JavaScript插件面臨攻擊風險,。該報告跟蹤了Alexa前1000名網(wǎng)站的安全狀況,發(fā)現(xiàn)平均每個網(wǎng)站包含來自32個不同的第三方的JavaScript程序,,比2019年略有增加,。而諸如Google Analytics(分析)和其他插件之類的第三方程序會將網(wǎng)站暴露于Magecart、formjacking,、跨站腳本,、信用卡劫持和其他攻擊,。

  這類攻擊利用了在全球約99%的網(wǎng)站上運行的易受攻擊的JavaScript組件。盡管有30%的網(wǎng)站實施了新的安全策略,,比2019年增加了10%,,但只有1.1%的網(wǎng)站具有有效的安全措施,比2019年反而下降了11%,。

  Tala Security的創(chuàng)始人兼首席執(zhí)行官Aanand Krishnan表示:“這表明,,盡管網(wǎng)站安全措施的部署增加了,但效率卻急劇下降,?!薄肮粽哒紦?jù)上風,主要是因為我們沒有發(fā)揮有效的防御作用,?!?/p>

  報告指出,如果沒有有效的策略控制,,大多數(shù)網(wǎng)站上運行的每一段代碼都可能通過JavaScript執(zhí)行的客戶端攻擊來修改,、竊取或泄漏信息。這些攻擊對黑客而言意義重大,,因為一旦他們攻擊了第三方工具,,他們便可以在部署該工具的任何其他網(wǎng)站上利用它。

  報告發(fā)現(xiàn),,數(shù)據(jù)風險無處不在,,很少有網(wǎng)站部署真正應(yīng)有效的控制措施?!霸谠S多情況下,,這些數(shù)據(jù)泄漏是通過白名單上的合法應(yīng)用程序進行的,而網(wǎng)站所有者卻不知道,?!?/p>

  值得高度關(guān)注的是:盡管引人注目的違規(guī)事件不斷增加,但用于完成92%網(wǎng)站上的訂單的表單腳本仍將數(shù)據(jù)平均暴露給17個域,。

  “因此,,數(shù)據(jù)不僅會在主要網(wǎng)站,托管網(wǎng)站或支付平臺中公開,,平均還會暴露其他15個域,這極大地暴露了風險,,”報告指出,,“我們已經(jīng)看到了黑客更改代碼,甚至關(guān)閉了整個網(wǎng)站的案例,?!?/p>

  Lookout安全解決方案高級經(jīng)理Hank Schless指出,,數(shù)據(jù)顯示,向第三方開放公司平臺會帶來更多風險,,尤其是在暴露于GDPR和CCPA方面,。

  Schless指出:“如今,隱私已成為主要關(guān)注點,,安全團隊需要適當評估任何第三方集成商的安全狀況,,然后才能允許他們訪問客戶數(shù)據(jù)?!?/p>

  SaltStack的聯(lián)合創(chuàng)始人兼首席技術(shù)官Thomas Hatch說,,他對有效的web安全管理水平下滑的報道感到擔憂。

  Hatch說:“如此嚴重的下滑,,表明當今網(wǎng)站的網(wǎng)絡(luò)安全管理存在根本問題,。”“這些類型的攻擊和漏洞并不是什么新事物,,但卻比以往任何時候都普遍,。如果要克服這些問題,我們需要重新考慮如何部署應(yīng)用程序,,重新考慮如何保護應(yīng)用程序,,重新考慮如何安全管理,以及如何支持用于構(gòu)建現(xiàn)代Web站點的大量開源項目,。”


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。