大多数全球品牌无法实施安全控制措施,以防止数据泄漏和盗窃

全球大流行已经使网络成为焦点。银行,零售和其他行业的网络流量出现了大幅增长,并且这种趋势预计将持续下去。

全球品牌安全控制

全球品牌未能实施安全控制

随着攻击者加大利用这一危机的努力,对全球品牌和 违反GDPR的创纪录罚款 对客户端安全和数据保护部署的影响很小。

那里’令人担忧的缺乏安全控制措施,无法通过客户端攻击(如客户端攻击)防止数据被盗和丢失 麦卡特,表单劫持,跨站点脚本编写和信用卡窃取。这些攻击利用了在全球99%的顶级网站上运行的易受攻击的JavaScript集成, 塔拉安全 显示。

该报告指出,尽管在过去18个月中遭到了高调的攻击并屡次发出行业警告,包括迄今为止的最大GDPR罚款,但针对JavaScript漏洞的安全有效性正在下降。

没有控件,网站所有者(网站所有者的网站供应链中包括的每个供应商)上运行的每段代码都可以通过JavaScript启用的客户端攻击来修改,窃取或泄漏信息。

在许多情况下,这种数据泄漏是通过列入白名单的合法应用程序发生的,而网站所有者却不知道。该报告表明,数据风险无处不在,很少应用有效的控制措施。

主要发现突出表明了漏洞的严重性,并且大多数全球品牌未能部署适当的安全控制措施来防范客户端攻击。

2020年JavaScript风险有所增加

平均网站包含来自32个第三方JavaScript供应商的内容,比2019年略有增加。JavaScript增强了功能,但也丰富了客户浏览器上呈现内容的框架,包括图像,样式表,字体,媒体以及第一方来源的内容所有者。

第三方JavaScript集成提供的内容

客户浏览器上显示的内容的58%由上述第三方JavaScript集成提供。

该网站供应链利用了在98%的采样网站中超出有效控制范围的客户端连接。客户端是当今网站攻击的主要攻击媒介。

网站将数据平均暴露给17个域

尽管引人注目的违反行为数量不断增加,但在92%的网站上发现的表单仍将数据平均暴露给17个域。这是个人识别信息,凭证,卡交易和病历。

尽管大多数用户可以合理地期望网站所有者的服务器以及付款清算所可以访问此数据,但分析表明,该数据暴露给的域比预期多了近10倍。

所研究的网站中近三分之一将数据公开到20多个域。这样可以深入了解Magecart等攻击的方式和原因, 劫持 卡片掠夺基本上没有减弱。

没有比XSS更广泛的攻击

尽管其他客户端攻击(例如Magecart)占据了大多数头条新闻,但没有比跨站点脚本(XSS)。这项研究发现97%的网站都在使用危险的JavaScript函数,这些函数可能充当发起DOM XSS攻击的注入点。

存在可以防止这些攻击的基于标准的安全控制。它们很少使用。

不幸的是,尽管存在着引人注目的风险和控制措施的可利用性,但是能够防止客户端攻击的安全性的采用并没有显着增加:

  • 超过99%的网站都受到来自受信任的白名单网域(如Google Analytics(分析))的威胁。可以利用这些来泄漏数据,从而强调了对连续PII泄漏进行监视和预防的需要。这对数据隐私具有重要意义,因此, GDPR注册会计师.
  • 分析的网站中有30%实施了安全策略,比2019年增加了10%,这是令人鼓舞的。
  • 发现只有1.1%的网站具有有效的安全性–与2019年相比下降了11%。这表明,尽管部署量增加了,但有效性下降的幅度更大。攻击者占上风,主要是因为我们没有发挥有效的防御作用。
分享这个