Principales sitios world-wide-web plagados por la falta de seguridad efectiva contra vulnerabilidades de JavaScript


El código que se ejecuta en los sitios puede explotarse para robar o filtrar datos a través de ataques del lado del cliente habilitados por el lenguaje de programación, dice Tala Stability.

essential-javascript-coding-bundle.jpg

JavaScript se ha convertido en un lenguaje de programación well known y generalizado utilizado por muchos sitios net para crear contenido interactivo. Pero al igual que otras herramientas y tecnologías populares, JavaScript está lleno de vulnerabilidades que los piratas informáticos pueden explotar para robar datos confidenciales en línea. Un informe publicado el martes por el proveedor de seguridad Tala Safety sostiene que la mayoría de los sitios website principales están mal equipados para combatir las fallas en JavaScript, poniendo en riesgo los datos de sus clientes y usuarios.

VER: Los 10 ciberataques más importantes de la década (PDF gratuito) (TechRepublic)

Por su «Informe del estado de la web de datos globales en riesgo 2020«, Tala analizó las defensas de seguridad de los principales 1,000 sitios web como clasificado por Alexa. Esta lista incluye sitios importantes como Google, YouTube, Baidu, Fb, Yahoo, Amazon, Zoom, Netflix y Microsoft. Citando una «preocupante falta de controles de seguridad necesarios para evitar el robo de datos», el informe dice que estos sitios son vulnerables a los ataques del lado del cliente que explotan las vulnerabilidades de JavaScript, incluidos Magecart, formjacking, scripting entre sitios y tarjetas de crédito.

El riesgo de la explotación de JavaScript es mayor en 2020, ya que el sitio world wide web promedio ahora incluye contenido de 22 proveedores externos de JavaScript diferentes, un poco más que el nivel visto en 2019. Alrededor del 58% del contenido que aparece en el navegador de un usuario es entregado por estos integraciones de JavaScript de terceros.

Los formularios interactivos encontrados en el 92% de los sitios internet analizados exponen datos a un promedio de 17 dominios diferentes. Estos datos incluyen información de identificación personal (PII), credenciales de inicio de sesión, transacciones con tarjeta y registros médicos. Según el análisis de Tala, estos datos están expuestos a 10 veces más dominios de los previstos, una de las razones por las que los ataques Magecart, formjacking y skimming de tarjetas pueden continuar.

website-javascript-vulnerabilities-tala-security.jpg "src =" https://tr4.cbsistatic.com/hub/i/r/2020/07/14/b38fabda-8e58-4b8d-932b-a224d4950343/resize/770x /11a776a659cbf9a727a251c1a7cc0e12/website-javascript-vulnerabilities-tala-security.jpg

Alrededor del 99% de los sitios world wide web a nivel mundial incluyen múltiples vulnerabilidades del lado del cliente, lo que los convierte en objetivos atractivos para los atacantes.

Imagen: Tala Stability

Aunque los ataques Magecart a menudo captan la mayor atención, ninguna forma de ataque es más generalizada que las secuencias de comandos entre sitios (XSS). Un 97% de los sitios world-wide-web examinados están utilizando funciones peligrosas de JavaScript que podrían abrir la puerta a un ataque DOM XSS. Aunque los controles de seguridad basados ​​en estándares podrían prevenir estos ataques, dichos controles no se aplican de manera consistente o con la frecuencia suficiente, según Tala.

«JavaScript potencia la experiencia world wide web rica y altamente personalizada de hoy y permite la transformación electronic en todos los sectores de la industria», dijo el fundador y CEO de Tala Security, Aanand Krishnan, en un comunicado de prensa. «El hecho de que permanezca en gran medida sin vigilancia es sorprendente y decepcionante. Los sitios internet generan volúmenes masivos de datos de alto valor, convirtiéndolos en un objetivo principal para los atacantes. El problema basic con la forma en que los sitios world-wide-web de hoy están protegidos es que los datos del usuario están muy expuestos a aplicaciones y servicios de terceros y que la fuga de datos se create incluso de recursos de terceros de confianza «.

¿Cómo pueden los sitios web protegerse mejor contra el robo y la fuga de datos debido a las vulnerabilidades de JavaScript? Tala recomienda que los desarrolladores del sitio implementen controles tales como Política de seguridad de contenido (CSP), Integridad de recursos (SRI) y Seguridad de transporte estricta de HTTP (HSTS), todo lo cual puede mitigar los ataques del lado del cliente basados ​​en JavaScript.

«Los controles de seguridad basados ​​en estándares están integrados en todos los navegadores modernos y están diseñados específicamente para abordar las vulnerabilidades creadas por la arquitectura world-wide-web moderna, incluidos los ataques del lado del cliente», dijo Tala en su informe. «Aplicados y administrados correctamente, estos estándares de seguridad, incluida la Política de seguridad de contenido (CSP), la Integridad de recursos secundarios (SRI) y otros (como HTTP Demanding Transportation Safety (HSTS)) mitigarán el riesgo del lado del cliente, incluidas las amenazas de día cero, ofreciendo una solución preparada para el futuro sin impacto en el rendimiento del sitio internet o la experiencia del usuario. Aprovechar las herramientas que complementan estas capacidades al monitorear y prevenir la PII y otras fugas de datos proporciona un enfoque integral de defensa en profundidad «.

Ver también



Enlace a la noticia authentic