js教程

99%的网站面临JavaScript插件攻击风险

精准像素 2020-07-20 人阅读

Tala Security今天发布的一份Web安全报告显示,全球Web安全状况急剧恶化,99%的网站JavaScript插件面临攻击风险。该报告跟踪了Alexa前1000名网站的安全状况,发现平均每个网站包含来自32个不同的第三方的JavaScript程序,比2019年略有增加。而诸如Google Analytics(分析)和其他插件之类的第三方程序会将网站暴露于Magecart、formjacking、跨站脚本、信用卡劫持和其他攻击。

99%的网站面临JavaScript插件攻击风险

这类攻击利用了在全球约99%的网站上运行的易受攻击的JavaScript组件。尽管有30%的网站实施了新的安全策略,比2019年增加了10%,但只有1.1%的网站具有有效的安全措施,比2019年反而下降了11%。

Tala Security的创始人兼首席执行官Aanand Krishnan表示:

这表明,尽管网站安全措施的部署增加了,但效率却急剧下降。攻击者占据上风,主要是因为我们没有发挥有效的防御作用。

报告指出,如果没有有效的策略控制,大多数网站上运行的每一段代码都可能通过JavaScript执行的客户端攻击来修改、窃取或泄漏信息。这些攻击对黑客而言意义重大,因为一旦他们攻击了第三方工具,他们便可以在部署该工具的任何其他网站上利用它。

报告发现,数据风险无处不在,很少有网站部署真正应有效的控制措施。

在许多情况下,这些数据泄漏是通过白名单上的合法应用程序进行的,而网站所有者却不知道。

值得高度关注的是:尽管引人注目的违规事件不断增加,但用于完成92%网站上的订单的表单脚本仍将数据平均暴露给17个域。

因此,数据不仅会在主要网站,托管网站或支付平台中公开,平均还会暴露其他15个域,这极大地暴露了风险,我们已经看到了黑客更改代码,甚至关闭了整个网站的案例。

Lookout安全解决方案高级经理Hank Schless指出,数据显示,向第三方开放公司平台会带来更多风险,尤其是在暴露于GDPR和CCPA方面。

Schless指出:

如今,隐私已成为主要关注点,安全团队需要适当评估任何第三方集成商的安全状况,然后才能允许他们访问客户数据。

SaltStack的联合创始人兼首席技术官Thomas Hatch说,他对有效的web安全管理水平下滑的报道感到担忧。

Hatch说:

如此严重的下滑,表明当今网站的网络安全管理存在根本问题。这些类型的攻击和漏洞并不是什么新事物,但却比以往任何时候都普遍。如果要克服这些问题,我们需要重新考虑如何部署应用程序,重新考虑如何保护应用程序,重新考虑如何安全管理,以及如何支持用于构建现代Web站点的大量开源项目。

相关推荐
  • 网站攻击
  • 网站安全
  • 360出品的免费CDN服务 支持CDN+防D/C攻击+DNS
    360出品的免费CDN服务 支持CDN+防D/C攻击+DNS

    360出品的免费CDN服务,以前叫网站卫士,现在叫奇安信网站卫士,支持免费CDN加速服务、防DDOS、防CC攻击、智能高防DNS、支持HTTPS。使用方法精准像素就不介绍了,都一样,解析域名等待审核,这里主要说说奇...

    主机域名 203 3个月前
  • 《SQL注入攻击与防御》 pdf下载
    《SQL注入攻击与防御》 pdf下载

    当你在学注入的时候是不是很懵逼?不知道怎么找注入点,找到注入点不知道怎么注入,只会and 1=1 and 1=2,这本书全面讲解sql注入原理,以及各种注入类型和方法。SQL注入攻击是一种已经长期存在,但近年来日...

    电子书 33 1年前
  • 红色端Jscc攻击脚本DOSS压力测试PHP源码
    红色端Jscc攻击脚本DOSS压力测试PHP源码

    红色端+Jscc攻击脚本,服务器DOSS压力测试PHP源码,红色端搭建后需要自行修改后台路径。环境要求:php版本用56或者70及以上,安装扩展sg11组件。压力测试源码安装方法上传源码,解压源码,导入sql.sql文件@/...

    php源码 181 5个月前
  • PHPCMS v9安全设置教程

    一、目录权限设置很重要:可以有效防范黑客上传木马文件.如果通过 chmod 644 * -R 的话,php文件就没有权限访问了。如果通过chmod 755 * -R 的话,php文件的权限就高了。所以就需要分开设置目录权限和文件权限:linux 服务器权限:经常要用到的命令:find /pat...

    phpcms教程 37 2个月前
  • 帝国CMS7.2更安全

    帝国CMS7.2版本除了前面我们介绍的以下安全功能:1、更强大的“来源HASH验证”;2、新增“随时认证码”验证;3、管理员密码采用三重md5加密,超强加密;还新增更多安全特性,系统更牢固:4、在原来7.0版采用数据库+COOKIE+文件+SESSION四重安全认证基础上,7.2版还...

    帝国cms教程 298 6年前
  • 重置 Discuz! 2.5 安全码

    我们在使用 Discuz2.5 添加插件或者模版的时候,总是提示要输入安全码,但是安装Discuz2.5过程中没有设置什么安全吗,怎么解决这个问题呢?第一步:点击“忘记密码”,进入校验界面,下载 addonreset.txt 文件,把文件放在网站的根目录,然后通过 http://www. 你的域...

    discuz教程 172 3年前