行业新闻与博客

对 Alexa 排名前 1000 的网站的分析显示，令人担忧的是缺乏防止客户端攻击造成数据盗窃和丢失所需的安全控制。

据研究，从塔拉安全，技术，如 Magecart 攻击，formjacking，跨站点脚本和信用卡撇正在利用在世界顶级网站的 99％运行的 JavaScript 脆弱的集成，以及对 JavaScript 的漏洞的安全有效性下降。

研究确定，平均网站包含来自 32 个第三方 JavaScript 供应商的内容，并且在客户浏览器中显示的内容的 58％是由第三方 JavaScript 集成提供的。 

Tala Security 创始人兼首席执行官 Aanand Krishnan 表示：“当今网站安全的基本问题是，用户数据在很大程度上暴露于第三方应用程序和服务，甚至从受信任的第三方资源中也发生数据泄漏。” 。“当务之急是组织必须高度重视安全性，并密切注意已成为普遍攻击媒介的因素。”

尽管有 30％的网站已实施安全策略，但只有 1.1％的网站具有有效的安全性。

Synopsys 的高级安全策略师 Jonathan Knudsen 表示，该公司自己的研究表明，平均商业应用程序已包含 400 多个第三方开源组件。他解释说：“虽然 Tala Security 进行的研究可能会确定 32 个独立的供应商，但在查看任何软件供应链时，不仅要关注已知的供应商，而且还要关注最终产品或产品中开源软件的使用情况，这一点很重要。服务。毕竟，不可能修补您不知道的东西。”

他还声称，“研究发现平均每个网站上都有来自 32 个第三方供应商的内容，这不足为奇”，因为现代软件比书面软件更加组装，有用的功能块通常来自开源，第三方通过 API 与多个其他系统发生的软件组件和交互。

他说：“使用第三方软件组件，JavaScript 语言或网络生态系统并没有天生的错误。” “就像其他任何事情一样，在网站的构建和部署过程中必须对风险进行管理并将其最小化。”

Edgescan 解决方案架构师 Keith Geraghty 说，JavaScript 不是这里的问题，因为它“彻底改变了网络上的用户体验。

他说：“当提到供应商时，我们通常是指有才华的程序员，他们已经开发了工具和解决方案，以及 HTML 和 CSS，这些工具和解决方案构成了 Web 的主干网。” “像所有插件和解决方案一样，组织需要确保所使用的内容是安全的，最新的，并且处于与传统补丁程序管理策略相同的控制之下。”

Tripwire 的高级安全研究员 Craig Young 表示：“从这么多不同的域加载如此多的 JavaScript 库的情况大大放大了子域劫持攻击对整个 Internet 构成的风险。问题在于，除非站点运营商采取了特定的安全预防措施，否则每个提供未经身份验证的 JavaScript 的第三方域都为服务器的入侵提供了机会，将恶意内容提供给毫无戒心的用户。

本文由机器译制