Los principales sitios web plagados por la falta de seguridad efectiva contra las vulnerabilidades de JavaScript

por

El código que se ejecuta en sitios puede explotarse para robar o filtrar datos a través de ataques del lado del cliente habilitados por el lenguaje de programación, dice Tala Security.

esencial-javascript-coding-bundle.jpg

JavaScript se ha convertido en un lenguaje de programación popular y generalizado utilizado por muchos sitios web para crear contenido interactivo. Pero al igual que otras herramientas y tecnologías populares, JavaScript está plagado de vulnerabilidades que los piratas informáticos pueden explotar para robar datos sensibles en línea. Un informe publicado el martes por el proveedor de seguridad Tala Security sostiene que la mayoría de los principales sitios web están mal equipados para combatir las fallas en JavaScript, lo que pone en riesgo los datos de sus clientes y usuarios.

VER: Los 10 ciberataques más importantes de la década (.) (TechRepublic)

Por su “Informe sobre el estado de la web de datos globales en riesgo 2020, “Tala analizó las defensas de seguridad de los 1000 sitios web principales como clasificado por Alexa. Esta lista incluye sitios importantes como Google, YouTube, Baidu, Facebook, Yahoo, Amazon, Zoom, Netflix y Microsoft. Citando una “preocupante falta de controles de seguridad necesarios para evitar el robo de datos”, el informe dijo que estos sitios son vulnerables a los ataques del lado del cliente que explotan las vulnerabilidades de JavaScript, incluidos Magecart, formjacking, cross-site scripting y skimming de tarjetas de crédito.

El riesgo de explotación de JavaScript es mayor en 2020, ya que el sitio web promedio ahora incluye contenido de 22 proveedores de JavaScript de terceros diferentes, ligeramente por encima del nivel visto en 2019. Aproximadamente el 58% del contenido que aparece en el navegador de un usuario es entregado por estos Integraciones de JavaScript de terceros.

Los formularios interactivos que se encuentran en el 92% de los sitios web analizados exponen los datos a una media de 17 dominios diferentes. Estos datos incluyen información de identificación personal (PII), credenciales de inicio de sesión, transacciones con tarjeta y registros médicos. Según el análisis de Tala, estos datos están expuestos a 10 veces más dominios de los previstos, una de las razones por las que los ataques Magecart, formjacking y skimming de tarjetas pueden continuar.

sitio web-javascript-vulnerabilidades-tala-security.jpg

Alrededor del 99% de los sitios web a nivel mundial incluyen múltiples vulnerabilidades del lado del cliente, lo que los convierte en objetivos atractivos para los atacantes.

Imagen: Tala Security

Aunque los ataques de Magecart suelen captar la mayor parte de la atención, ninguna forma de ataque es más generalizada que el cross-site scripting (XSS). El 97% de los sitios web examinados utilizan funciones JavaScript peligrosas que podrían abrir la puerta a un ataque DOM XSS. Aunque los controles de seguridad basados ​​en estándares podrían prevenir estos ataques, dichos controles no se aplican de manera consistente o con la suficiente frecuencia, según Tala.

“JavaScript impulsa la experiencia web rica y altamente personalizada de hoy y permite la transformación digital en todos los sectores de la industria”, dijo el fundador y director ejecutivo de Tala Security, Aanand Krishnan, en un comunicado de prensa. “El hecho de que permanezca en gran parte sin vigilancia es sorprendente y decepcionante. Los sitios web generan volúmenes masivos de datos de alto valor, lo que los convierte en un objetivo principal para los atacantes. El problema fundamental con la forma en que los sitios web actuales están protegidos es que los datos de los usuarios están muy expuestos a aplicaciones y servicios de terceros y que la filtración de datos se está produciendo incluso desde recursos de terceros confiables “.

¿Cómo pueden los sitios web protegerse mejor contra el robo y la filtración de datos debido a las vulnerabilidades de JavaScript? Tala recomienda que los desarrolladores del sitio implementen controles como Política de seguridad de contenido (CSP), Integridad de los subrecursos (SRI) y Seguridad de transporte estricta HTTP (HSTS), todos los cuales pueden mitigar los ataques del lado del cliente basados ​​en JavaScript.

“Los controles de seguridad basados ​​en estándares están integrados en todos los navegadores modernos y están diseñados específicamente para abordar las vulnerabilidades creadas por la arquitectura web moderna, incluidos los ataques del lado del cliente”, dijo Tala en su informe. “Si se aplican y administran correctamente, estos estándares de seguridad, incluida la Política de seguridad de contenido (CSP), la integridad de los subrecursos (SRI) y otros [such as HTTP Strict Transport Security (HSTS)] mitigará el riesgo del lado del cliente, incluidas las amenazas de día cero, ofreciendo una solución a prueba de futuro sin impacto en el rendimiento del sitio web o la experiencia del usuario. Aprovechar las herramientas que complementan estas capacidades al monitorear y prevenir la PII y otras fugas de datos proporciona un enfoque integral de defensa en profundidad “.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Microsoft, Oracle y Google listan las principales empresas con la mayoría de las vulnerabilidades reveladas en el segundo trimestre
  2. Los 5 principales lenguajes de programación que los administradores de seguridad deben aprender
  3. Los 5 principales protocolos de seguridad de higiene de contraseñas que las empresas deben seguir
  4. Los CISO deberían poner la seguridad contra el fraude publicitario en sus radares

Deja un comentario