99%的网站面临JavaScript插件攻击风险
Tala Security今天发布的一份web安全报告显示,全球Web安全状况急剧恶化,99%的网站JavaScript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况,发现平均每个网站包含来自32个不同的第三方的JavaScript程序,比2019年略有增加。而诸如Google Analytics(分析)和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。
这类攻击利用了在全球约99%的网站上运行的易受攻击的JavaScript组件。尽管有30%的网站实施了新的安全策略,比2019年增加了10%,但只有1.1%的网站具有有效的安全措施,比2019年反而下降了11%。
Tala Security的创始人兼首席执行官Aanand Krishnan表示:“这表明,尽管网站安全措施的部署增加了,但效率却急剧下降。”“攻击者占据上风,主要是因为我们没有发挥有效的防御作用。”
报告指出,如果没有有效的策略控制,大多数网站上运行的每一段代码都可能通过JavaScript执行的客户端攻击来修改、窃取或泄漏信息。这些攻击对黑客而言意义重大,因为一旦他们攻击了第三方工具,他们便可以在部署该工具的任何其他网站上利用它。
报告发现,数据风险无处不在,很少有网站部署真正应有效的控制措施。“在许多情况下,这些数据泄漏是通过白名单上的合法应用程序进行的,而网站所有者却不知道。”
值得高度关注的是:尽管引人注目的违规事件不断增加,但用于完成92%网站上的订单的表单脚本仍将数据平均暴露给17个域。
“因此,数据不仅会在主要网站,托管网站或支付平台中公开,平均还会暴露其他15个域,这极大地暴露了风险,”报告指出,“我们已经看到了黑客更改代码,甚至关闭了整个网站的案例。”
Lookout安全解决方案高级经理Hank Schless指出,数据显示,向第三方开放公司平台会带来更多风险,尤其是在暴露于GDPR和CCPA方面。
Schless指出:“如今,隐私已成为主要关注点,安全团队需要适当评估任何第三方集成商的安全状况,然后才能允许他们访问客户数据。”
SaltStack的联合创始人兼首席技术官Thomas Hatch说,他对有效的web安全管理水平下滑的报道感到担忧。
Hatch说:“如此严重的下滑,表明当今网站的网络安全管理存在根本问题。”“这些类型的攻击和漏洞并不是什么新事物,但却比以往任何时候都普遍。如果要克服这些问题,我们需要重新考虑如何部署应用程序,重新考虑如何保护应用程序,重新考虑如何安全管理,以及如何支持用于构建现代Web站点的大量开源项目。”
1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.vfaner.com",如遇到无法解压的请联系管理员!
微范儿 » 99%的网站面临JavaScript插件攻击风险
2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
5. 如有链接无法下载、失效或广告,请联系管理员处理!
6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
7. 如遇到加密压缩包,默认解压密码为"www.vfaner.com",如遇到无法解压的请联系管理员!
微范儿 » 99%的网站面临JavaScript插件攻击风险
常见问题FAQ
- 免费下载或者VIP会员专享资源能否直接商用?
- 本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。
- 下载不了或者解压包需要密码?
- 蓝奏云下载不了一般改一下后缀就可以下载了,比如t改成i或者x等,很早之前的资源可能有几个需要解压密码,默认就是本站域名www.vfaner.com
- 资源经过测试有bug或者不能使用?
- 资源都是各大平台和收费平台搜集的,遇到不能使用添加QQ7940758进行反馈及时删除该资源
