99%的网站JavaScript插件面临攻击风险
Tala Security今天发布的一份web安全报告显示,全球Web安全状况急剧恶化,99%的网站JavaScript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况,发现平均每个网站包含来自32个不同的第三方的JavaScript程序,比2019年略有增加。而诸如Google Analytics(分析)和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。
这类攻击利用了在全球约99%的网站上运行的易受攻击的JavaScript组件。尽管有30%的网站实施了新的安全策略,比2019年增加了10%,但只有1.1%的网站具有有效的安全措施,比2019年反而下降了11%。
Tala Security的创始人兼首席执行官Aanand Krishnan表示:
报告指出,如果没有有效的策略控制,大多数网站上运行的每一段代码都可能通过JavaScript执行的客户端攻击来修改、窃取或泄漏信息。这些攻击对黑客而言意义重大,因为一旦他们攻击了第三方工具,他们便可以在部署该工具的任何其他网站上利用它。
报告发现,数据风险无处不在,很少有网站部署真正应有效的控制措施。
值得高度关注的是:尽管引人注目的违规事件不断增加,但用于完成92%网站上的订单的表单脚本仍将数据平均暴露给17个域。
Lookout安全解决方案高级经理Hank Schless指出,数据显示,向第三方开放公司平台会带来更多风险,尤其是在暴露于GDPR和CCPA方面。
Schless指出:
SaltStack的联合创始人兼首席技术官Thomas Hatch说,他对有效的web安全管理水平下滑的报道感到担忧。
Hatch说: