一些网站由于缺乏有效的安全措施，受到 JavaScript 漏洞的困扰

Tala Security表示，运行在网站上的代码可以通过编程语言启用的客户端攻击来窃取或泄漏数据。

JavaScript已经成为一种流行和普及的编程语言，许多网站使用它来构建交互式内容。但是与其他流行的工具和技术一样，JavaScript也存在漏洞，黑客可以利用这些漏洞窃取敏感的在线数据。安全提供商Tala Security周二发布的一份报告认为，大多数主要网站都没有做好应对JavaScript漏洞的准备，从而使他们的客户和用户数据面临风险。

Tala 在其“ 2020年全球Web数据处于风险状态报告”中，分析了Alexa排名前1000个网站的安全防御措施。该列表包括主要站点，例如Google，YouTube，百度，Facebook，Yahoo，Amazon，Zoom，Netflix和Microsoft。报告指出，“缺乏防止数据盗窃所需的安全控制措施，这令人担忧”，这些网站容易受到利用JavaScript漏洞的客户端攻击，包括Magecart，formjacking，跨站点脚本和信用卡窃取。

到2020年，JavaScript开发的风险会更高，因为现在平均每个网站包含22个不同的第三方JavaScript供应商的内容，比2019年略有上升。用户浏览器中大约58%的内容是由这些第三方JavaScript集成提供的。

在92％的被分析网站上发现的交互形式平均将数据暴露给17个不同的域。该数据包括个人身份信息（PII），登录凭证，卡交易和病历。根据 Tala 的分析，此数据暴露给的域比预期多10倍，这是Magecart，formjacking和card - skimming攻击能够继续的原因之一。

全球约有99％的网站包含多个客户端漏洞，使它们成为攻击者的诱人目标。

图片：塔拉安全

尽管Magecart攻击经常引起最多的关注，但没有一种攻击比跨站点脚本（XSS）更为普遍。整整97％的网站都在使用危险的JavaScript函数，这些函数可能会打开DOM XSS攻击的大门。尽管基于标准的安全控制可以防止这些攻击，但这种控制并未得到足够一致或频繁的应用。

Tala Security创始人兼首席执行官Aanand Krishnan在一份新闻稿中说：“ avaScript推动了当今丰富的、高度定制的web体验，并实现了跨所有行业部门的数字转换。” “事实上，它仍然处于不受保护的状态，这既令人惊讶又令人失望。网站会生成大量的高价值数据，使其成为攻击者的主要目标。当今网站保护方式的根本问题是，用户数据暴露于第三方应用程序和服务，甚至从受信任的第三方资源中也发生了数据泄漏。”

网站如何更好地防范由于JavaScript漏洞引起的数据盗窃和泄漏？Tala建议站点开发人员实施诸如内容安全策略（CSP），子资源完整性（SRI）和HTTP严格传输安全性（HSTS）之类的控件，所有这些控件都可以缓解基于JavaScript的客户端攻击。

Tala在报告中说：“所有现代浏览器都内置了基于标准的安全控制，这些安全控制是专门为解决现代网络架构造成的漏洞而设计的，包括客户端攻击。” “正确应用和管理这些安全标准，包括内容安全策略（CSP），子资源完整性（SRI）和其他标准（例如HTTP Strict Transport Security（HSTS）），可以减轻客户端的风险，包括零时差威胁，提供一个未来可靠的解决方案，不影响网站性能或用户体验。利用工具，通过监控和防止PII和其他数据泄漏补充这些能力，提供了全面的深入防御方法。”