一些網站由于缺乏有效的安全措施,受到 JavaScript 漏洞的困擾
Tala Security表示,運行在網站上的代碼可以通過編程語言啟用的客戶端攻擊來竊取或泄漏數據。
JavaScript已經成為一種流行和普及的編程語言,許多網站使用它來構建交互式內容。但是與其他流行的工具和技術一樣,JavaScript也存在漏洞,黑客可以利用這些漏洞竊取敏感的在線數據。安全提供商Tala Security周二發布的一份報告認為,大多數主要網站都沒有做好應對JavaScript漏洞的準備,從而使他們的客戶和用戶數據面臨風險。
Tala 在其“ 2020年全球Web數據處于風險狀態報告”中,分析了Alexa排名前1000個網站的安全防御措施。該列表包括主要站點,例如Google,YouTube,百度,Facebook,Yahoo,Amazon,Zoom,Netflix和Microsoft。報告指出,“缺乏防止數據盜竊所需的安全控制措施,這令人擔憂”,這些網站容易受到利用JavaScript漏洞的客戶端攻擊,包括Magecart,formjacking,跨站點腳本和信用卡竊取。
到2020年,JavaScript開發的風險會更高,因為現在平均每個網站包含22個不同的第三方JavaScript供應商的內容,比2019年略有上升。用戶瀏覽器中大約58%的內容是由這些第三方JavaScript集成提供的。
在92%的被分析網站上發現的交互形式平均將數據暴露給17個不同的域。該數據包括個人身份信息(PII),登錄憑證,卡交易和病歷。根據 Tala 的分析,此數據暴露給的域比預期多10倍,這是Magecart,formjacking和card - skimming攻擊能夠繼續的原因之一。
全球約有99%的網站包含多個客戶端漏洞,使它們成為攻擊者的誘人目標。
圖片:塔拉安全
盡管Magecart攻擊經常引起最多的關注,但沒有一種攻擊比跨站點腳本(XSS)更為普遍。整整97%的網站都在使用危險的JavaScript函數,這些函數可能會打開DOM XSS攻擊的大門。盡管基于標準的安全控制可以防止這些攻擊,但這種控制并未得到足夠一致或頻繁的應用。
Tala Security創始人兼首席執行官Aanand Krishnan在一份新聞稿中說:“ avaScript推動了當今豐富的、高度定制的web體驗,并實現了跨所有行業部門的數字轉換。” “事實上,它仍然處于不受保護的狀態,這既令人驚訝又令人失望。網站會生成大量的高價值數據,使其成為攻擊者的主要目標。當今網站保護方式的根本問題是,用戶數據暴露于第三方應用程序和服務,甚至從受信任的第三方資源中也發生了數據泄漏。”
網站如何更好地防范由于JavaScript漏洞引起的數據盜竊和泄漏?Tala建議站點開發人員實施諸如內容安全策略(CSP),子資源完整性(SRI)和HTTP嚴格傳輸安全性(HSTS)之類的控件,所有這些控件都可以緩解基于JavaScript的客戶端攻擊。
Tala在報告中說:“所有現代瀏覽器都內置了基于標準的安全控制,這些安全控制是專門為解決現代網絡架構造成的漏洞而設計的,包括客戶端攻擊。” “正確應用和管理這些安全標準,包括內容安全策略(CSP),子資源完整性(SRI)和其他標準(例如HTTP Strict Transport Security(HSTS)),可以減輕客戶端的風險,包括零時差威脅,提供一個未來可靠的解決方案,不影響網站性能或用戶體驗。利用工具,通過監控和防止PII和其他數據泄漏補充這些能力,提供了全面的深入防御方法。”
