99%的网站JavaScript插件面临攻击风险

Posted 2021-04-17 安全牛

Tala Security今天发布的一份web安全报告显示，全球Web安全状况急剧恶化，99%的网站javascript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况，发现平均每个网站包含来自32个不同的第三方的JavaScript程序，比2019年略有增加。而诸如Google Analytics（分析）和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。

这类攻击利用了在全球约99％的网站上运行的易受攻击的JavaScript组件。尽管有30％的网站实施了新的安全策略，比2019年增加了10％，但只有1.1％的网站具有有效的安全措施，比2019年反而下降了11％。

Tala Security的创始人兼首席执行官Aanand Krishnan表示：“这表明，尽管网站安全措施的部署增加了，但效率却急剧下降。”“攻击者占据上风，主要是因为我们没有发挥有效的防御作用。”

报告指出，如果没有有效的策略控制，大多数网站上运行的每一段代码都可能通过JavaScript执行的客户端攻击来修改、窃取或泄漏信息。这些攻击对黑客而言意义重大，因为一旦他们攻击了第三方工具，他们便可以在部署该工具的任何其他网站上利用它。

报告发现，数据风险无处不在，很少有网站部署真正应有效的控制措施。“在许多情况下，这些数据泄漏是通过白名单上的合法应用程序进行的，而网站所有者却不知道。” 

值得高度关注的是：尽管引人注目的违规事件不断增加，但用于完成92％网站上的订单的表单脚本仍将数据平均暴露给17个域。

“因此，数据不仅会在主要网站，托管网站或支付平台中公开，平均还会暴露其他15个域，这极大地暴露了风险，”报告指出，“我们已经看到了黑客更改代码，甚至关闭了整个网站的案例。”

Lookout安全解决方案高级经理Hank Schless指出，数据显示，向第三方开放公司平台会带来更多风险，尤其是在暴露于GDPR和CCPA方面。

Schless指出：“如今，隐私已成为主要关注点，安全团队需要适当评估任何第三方集成商的安全状况，然后才能允许他们访问客户数据。”

SaltStack的联合创始人兼首席技术官Thomas Hatch说，他对有效的web安全管理水平下滑的报道感到担忧。

Hatch说：“如此严重的下滑，表明当今网站的网络安全管理存在根本问题。”“这些类型的攻击和漏洞并不是什么新事物，但却比以往任何时候都普遍。如果要克服这些问题，我们需要重新考虑如何部署应用程序，重新考虑如何保护应用程序，重新考虑如何安全管理，以及如何支持用于构建现代Web站点的大量开源项目。”

相关阅读

合作电话：18311333376
合作微信：aqniu001
投稿邮箱：editor@aqniu.com