99%的網站JavaScript插件面臨攻擊風險

Tala Security今天發布的一份web安全報告顯示，全球Web安全狀況急劇惡化，99%的網站JavaScript插件面臨攻擊風險。該報告跟蹤了Alexa前1000名網站的安全狀況，發現平均每個網站包含來自32個不同的第三方的JavaScript程序，比2019年略有增加。而諸如Google Analytics（分析）和其他插件之類的第三方程序會將網站暴露于Magecart、formjacking、跨站腳本、信用卡劫持和其他攻擊。

這類攻擊利用了在全球約99％的網站上運行的易受攻擊的JavaScript組件。盡管有30％的網站實施了新的安全策略，比2019年增加了10％，但只有1.1％的網站具有有效的安全措施，比2019年反而下降了11％。

Tala Security的創始人兼首席執行官Aanand Krishnan表示：“這表明，盡管網站安全措施的部署增加了，但效率卻急劇下降。”“攻擊者占據上風，主要是因為我們沒有發揮有效的防御作用。”

報告指出，如果沒有有效的策略控制，大多數網站上運行的每一段代碼都可能通過JavaScript執行的客戶端攻擊來修改、竊取或泄漏信息。這些攻擊對黑客而言意義重大，因為一旦他們攻擊了第三方工具，他們便可以在部署該工具的任何其他網站上利用它。

報告發現，數據風險無處不在，很少有網站部署真正應有效的控制措施。“在許多情況下，這些數據泄漏是通過白名單上的合法應用程序進行的，而網站所有者卻不知道。” 

值得高度關注的是：盡管引人注目的違規事件不斷增加，但用于完成92％網站上的訂單的表單腳本仍將數據平均暴露給17個域。

“因此，數據不僅會在主要網站，托管網站或支付平臺中公開，平均還會暴露其他15個域，這極大地暴露了風險，”報告指出，“我們已經看到了黑客更改代碼，甚至關閉了整個網站的案例。”

Lookout安全解決方案高級經理Hank Schless指出，數據顯示，向第三方開放公司平臺會帶來更多風險，尤其是在暴露于GDPR和CCPA方面。

Schless指出：“如今，隱私已成為主要關注點，安全團隊需要適當評估任何第三方集成商的安全狀況，然后才能允許他們訪問客戶數據。”

SaltStack的聯合創始人兼首席技術官Thomas Hatch說，他對有效的web安全管理水平下滑的報道感到擔憂。

Hatch說：“如此嚴重的下滑，表明當今網站的網絡安全管理存在根本問題。”“這些類型的攻擊和漏洞并不是什么新事物，但卻比以往任何時候都普遍。如果要克服這些問題，我們需要重新考慮如何部署應用程序，重新考慮如何保護應用程序，重新考慮如何安全管理，以及如何支持用于構建現代Web站點的大量開源項目。”