Tala Security今天發(fā)布的一份web安全報(bào)告顯示，全球Web安全狀況急劇惡化,，99%的網(wǎng)站JavaScript插件面臨攻擊風(fēng)險(xiǎn),。該報(bào)告跟蹤了Alexa前1000名網(wǎng)站的安全狀況，發(fā)現(xiàn)平均每個(gè)網(wǎng)站包含來自32個(gè)不同的第三方的JavaScript程序,，比2019年略有增加,。而諸如Google Analytics（分析）和其他插件之類的第三方程序會(huì)將網(wǎng)站暴露于Magecart、formjacking,、跨站腳本,、信用卡劫持和其他攻擊。

　　這類攻擊利用了在全球約99％的網(wǎng)站上運(yùn)行的易受攻擊的JavaScript組件,。盡管有30％的網(wǎng)站實(shí)施了新的安全策略,，比2019年增加了10％，但只有1.1％的網(wǎng)站具有有效的安全措施,，比2019年反而下降了11％,。

　　Tala Security的創(chuàng)始人兼首席執(zhí)行官Aanand Krishnan表示：“這表明，盡管網(wǎng)站安全措施的部署增加了,，但效率卻急劇下降,。”“攻擊者占據(jù)上風(fēng),，主要是因?yàn)槲覀儧]有發(fā)揮有效的防御作用,。”

　　報(bào)告指出,，如果沒有有效的策略控制,，大多數(shù)網(wǎng)站上運(yùn)行的每一段代碼都可能通過JavaScript執(zhí)行的客戶端攻擊來修改、竊取或泄漏信息,。這些攻擊對(duì)黑客而言意義重大,，因?yàn)橐坏┧麄児袅说谌焦ぞ撸麄儽憧梢栽诓渴鹪摴ぞ叩娜魏纹渌W(wǎng)站上利用它,。

　　報(bào)告發(fā)現(xiàn),，數(shù)據(jù)風(fēng)險(xiǎn)無處不在,，很少有網(wǎng)站部署真正應(yīng)有效的控制措施?！霸谠S多情況下,，這些數(shù)據(jù)泄漏是通過白名單上的合法應(yīng)用程序進(jìn)行的，而網(wǎng)站所有者卻不知道,?！?/p>

　　值得高度關(guān)注的是：盡管引人注目的違規(guī)事件不斷增加，但用于完成92％網(wǎng)站上的訂單的表單腳本仍將數(shù)據(jù)平均暴露給17個(gè)域,。

　　“因此,，數(shù)據(jù)不僅會(huì)在主要網(wǎng)站，托管網(wǎng)站或支付平臺(tái)中公開,，平均還會(huì)暴露其他15個(gè)域,，這極大地暴露了風(fēng)險(xiǎn)，”報(bào)告指出,，“我們已經(jīng)看到了黑客更改代碼,，甚至關(guān)閉了整個(gè)網(wǎng)站的案例?！?/p>

　　Lookout安全解決方案高級(jí)經(jīng)理Hank Schless指出,，數(shù)據(jù)顯示，向第三方開放公司平臺(tái)會(huì)帶來更多風(fēng)險(xiǎn),，尤其是在暴露于GDPR和CCPA方面,。

　　Schless指出：“如今，隱私已成為主要關(guān)注點(diǎn),，安全團(tuán)隊(duì)需要適當(dāng)評(píng)估任何第三方集成商的安全狀況,，然后才能允許他們訪問客戶數(shù)據(jù)?！?/p>

　　SaltStack的聯(lián)合創(chuàng)始人兼首席技術(shù)官Thomas Hatch說,，他對(duì)有效的web安全管理水平下滑的報(bào)道感到擔(dān)憂。

　　Hatch說：“如此嚴(yán)重的下滑,，表明當(dāng)今網(wǎng)站的網(wǎng)絡(luò)安全管理存在根本問題,。”“這些類型的攻擊和漏洞并不是什么新事物,，但卻比以往任何時(shí)候都普遍,。如果要克服這些問題，我們需要重新考慮如何部署應(yīng)用程序,，重新考慮如何保護(hù)應(yīng)用程序，重新考慮如何安全管理,，以及如何支持用于構(gòu)建現(xiàn)代Web站點(diǎn)的大量開源項(xiàng)目,?！?/p>